System Zarządzania Ryzykiem Oszustw i Nadużyć – ISO 37003

Czym jest norma ISO 37003?

ISO 37003:2025 to pierwsza międzynarodowa norma opracowana z myślą o wspieraniu organizacji w projektowaniu, wdrażaniu, utrzymywaniu i doskonaleniu systemowego podejścia do zarządzania ryzykiem nadużyć i oszustw (FCSM, czyli Fraud Control Management System). Dokument ten został przygotowany przez Komitet Techniczny ISO/TC 309 „Governance of organizations” i stanowi odpowiedź na rosnące wyzwania, przed jakimi stoją organizacje z sektora publicznego, prywatnego i społecznego niezależnie od ich wielkości, profilu działalności czy lokalizacji geograficznej.

Norma nie jest narzędziem do wykrywania konkretnych przypadków oszustw ani nie gwarantuje ich całkowitego wyeliminowania. Jej zadaniem jest natomiast dostarczenie ram zarządczych, które umożliwiają organizacjom skuteczniejsze identyfikowanie, analizowanie i ograniczanie ryzyka nadużyć, a także szybkie reagowanie na zdarzenia fraudowe oraz wdrażanie działań naprawczych i korygujących.

ISO 37003 kładzie nacisk na podejście oparte na zasadach dobrej praktyki zarządzania, w tym:

• zademonstrowanie zdolności organizacji do ciągłego przestrzegania mających zastosowanie przepisów i wymagań,

• zaangażowanie najwyższego kierownictwa (top management) i organów nadzorczych (governing body) w nadzór nad systemem zarządzania ryzykiem kontroli oszustw i nadużyć,

• aktywne zarządzanie ryzykiem oszustw i nadużyć, zarówno wewnętrznych, jak i zewnętrznych,

• wdrażanie polityki antynadużyciowej i mechanizmów etycznych,

• tworzenie środowiska sprzyjającego zgłaszaniu nieprawidłowości i odpowiedzialności organizacyjnej.

System zarządzania ryzykiem oszustw i nadużyć (FCMS), zgodny z ISO 37003, obejmuje wszystkie etapy reagowania na zagrożenia fraudowe od działań prewencyjnych, przez monitorowanie i wykrywanie incydentów, aż po efektywną odpowiedź na wykryte zdarzenia, uwzględniając m.in. współpracę z funkcją audytu wewnętrznego, działami bezpieczeństwa informacji oraz zespołami prawnymi i HR.

Co istotne, norma obejmuje nie tylko oszustwa dokonywane na szkodę organizacji, ale również oszustwa popełniane przez nią lub w jej imieniu, co czyni ją szczególnie użytecznym narzędziem z perspektywy ładu organizacyjnego, etyki i zgodności z przepisami prawa.

ISO 37003 stanowi ważne uzupełnienie rodziny norm z zakresu zarządzania odpowiedzialnością organizacyjną, takich jak ISO 37001 (antykorupcja) czy ISO 37301 (compliance), wspierając budowę kultury przejrzystości, integralności i zaufania w organizacjach działających w złożonym i dynamicznym otoczeniu ryzyka.

Dlaczego powstała norma ISO 37003?

Zanim omówimy potrzebę systemowego zarządzania ryzykiem nadużyć i oszustw, warto odpowiedzieć na fundamentalne pytanie: czym właściwie jest oszustwo i nadużycie (fraud) w rozumieniu normy ISO 37003?

Jest to każde umyślne, nieuczciwe działanie, które powoduje lub może potencjalnie spowodować korzyść lub stratę, niezależnie od tego, czy skutki mają charakter finansowy, gospodarczy czy społeczny. Działanie takie nie musi wprost naruszać prawa. Wystarczy, że prowadzi do nieuprawnionego wykorzystania informacji, pozycji lub zasobów, w sposób sprzeczny z zasadami przejrzystości, etyki lub uczciwości. Oszustwo może przybierać różne formy od celowego zniekształcania danych lub niszczenia dokumentów, po nadużycie zaufania czy fałszywe reprezentowanie interesów organizacji. Może być popełniane zarówno przez osoby zatrudnione w organizacji (tzw. oszustwa wewnętrzne), jak i przez podmioty zewnętrzne w tym partnerów, dostawców czy osoby trzecie. Co istotne, oszustwo może również mieć miejsce wtedy, gdy działania podejmowane są w imieniu organizacji np. przez jej przedstawicieli, agentów lub osoby, które powołują się na działanie na rzecz jej interesów.

W praktyce oznacza to, że zjawisko fraudu obejmuje bardzo szeroki katalog działań począwszy od działań o niskim wpływie, jak nieuprawnione drobne zakupy czy zawyżanie wydatków, po działania o dużej skali, jak wieloetapowe wyłudzenia, przestępstwa gospodarcze, korupcja czy manipulacje finansowe. Często towarzyszy im zamierzone wprowadzenie w błąd, ukrywanie prawdy lub tworzenie fałszywego obrazu sytuacji co utrudnia ich wykrycie i przeciwdziałanie.

Zrozumienie, czym naprawdę jest oszustwo, w całej jego złożoności i niejednoznaczności, stanowi punkt wyjścia do budowy skutecznego systemu przeciwdziałania tego typu zjawiskom. To właśnie ta potrzeba kompleksowego podejścia do złożonego problemu stała u podstaw opracowania normy ISO 37003.

Zjawisko oszustw i nadużyć jest problemem, z którym mierzą się organizacje na całym świecie niezależnie od swojej wielkości, branży czy formy prawnej. W ostatnich latach zyskało ono na złożoności i intensywności, a jego skutki coraz częściej mają charakter systemowy, wpływając na stabilność finansową, wiarygodność operacyjną, relacje z interesariuszami oraz reputację organizacji. ISO 37003:2025 powstała jako odpowiedź na te rosnące wyzwania.

Skala strat gospodarczych

Nadużycia finansowe, korupcja, fałszerstwa dokumentów czy manipulacje transakcjami generują każdego roku straty liczone w setkach miliardów dolarów. Straty te mają wymiar nie tylko ekonomiczny, ale również wizerunkowy, operacyjny i prawny. Wpływają na spadek zaufania klientów, destabilizację rynków, a w przypadku instytucji publicznych osłabiają zaufanie obywateli do instytucji państwa. Straty te mogą przybierać formę bezpośrednich kosztów (np. wyłudzenia, defraudacje, kradzieże), jak i pośrednich konsekwencji, takich jak utrata kontraktów, pogorszenie relacji z klientami czy kosztowne postępowania prawne. W tym kontekście organizacje potrzebują nie tyle incydentalnych działań, co trwałego systemu zarządzania ryzykiem nadużyć.

Nowe typy zagrożeń i rosnąca złożoność nadużyć

Oszustwa ewoluują. Zyskują nowe formy, często wykorzystujące nowoczesne technologie, w tym narzędzia cyfrowe, sztuczną inteligencję czy manipulację danymi. Wzrost liczby transakcji elektronicznych, zdalny dostęp do zasobów organizacji, outsourcing procesów biznesowych i globalizacja łańcuchów dostaw tworzą nowe obszary podatne na fraud. Coraz częściej organizacje mają do czynienia z nadużyciami wykorzystującymi technologie: manipulacje danymi, nieuprawniony dostęp do systemów informatycznych, fałszywe tożsamości czy nieetyczne zastosowanie algorytmów AI. Oszuści działają szybciej, dysponują lepszymi narzędziami i potrafią skutecznie zacierać ślady swojej działalności. Dodatkowo, wiele nadużyć powstaje nie przez złą wolę, lecz w wyniku luk systemowych, braku nadzoru, niejednoznacznych procedur lub braku świadomości personelu. W takim środowisku tradycyjne środki zaradcze są niewystarczające. Organizacje potrzebują holistycznego podejścia opartego na analizie ryzyka, mechanizmów zaradczych, skutecznych mechanizmach wykrywania i zdolności do szybkiego reagowania oraz mechanizmu działań korygujących (zapobiegających powtórnemu wystąpieniu sytuacji niepożądanej lub niezgodności).

Rosnące oczekiwania regulacyjne i społeczne

W ostatnich latach obserwujemy intensyfikację działań legislacyjnych i regulacyjnych nakierowanych na przeciwdziałanie nadużyciom. Organy nadzorcze, ustawodawcy oraz międzynarodowe instytucje promują podejście oparte na należytej staranności, kulturze zgodności i odpowiedzialności organizacyjnej. Oczekuje się od organizacji, że będą nie tylko reagować na oszustwa, ale też podejmować aktywne działania prewencyjne i dowodzić, że wdrożyły skuteczny system zapobiegania nadużyciom. Równocześnie klienci, partnerzy handlowi, inwestorzy i pracownicy oczekują przejrzystości, etycznego działania i sprawiedliwego traktowania. Brak reakcji na nadużycia, przyzwolenie na ich występowanie lub brak przejrzystych reguł może skutkować trwałą utratą zaufania.

Norma ISO 37003 powstała, aby dostarczyć organizacjom uporządkowanych, spójnych i praktycznych ram do zarządzania ryzykiem oszustw i nadużyć niezależnie od ich formy, źródła czy skutków. Stanowi ona odpowiedź na potrzebę systematyzacji rozproszonych działań i przekształcenia ich w jeden zintegrowany system, wspierający odpowiedzialne, przejrzyste i etyczne zarządzanie we współczesnym świecie pełnym wyzwań.

Do czego służy System Zarządzania Ryzykiem Oszustw i Nadużyć (FCMS)?

System zarządzania ryzykiem oszustw i nadużyć (FCMS, czyli Fraud Control Management System) to zestandaryzowane i zintegrowane podejście, które ma na celu wspieranie organizacji w świadomym i uporządkowanym przeciwdziałaniu nadużyciom zarówno tym, które mogą być popełnione na jej szkodę, jak i tym, które są popełniane przez nią lub w jej imieniu. Nie jest to zbiór jednorazowych procedur, lecz trwała, systemowa konstrukcja zarządcza, znana z innych systemów zarządzania zgodnych z wymaganiami norm ISO, która obejmuje wszystkie kluczowe etapy cyklu reagowania na zagrożenia fraudowe: zapobieganie, wykrywanie, reagowanie oraz doskonalenie.

Celem systemu FCMS jest nie tylko redukcja ryzyka wystąpienia oszustw i nadużyć, ale przede wszystkim zwiększenie zdolności organizacji do świadomego zarządzania tym ryzykiem, zapewnienia reakcji na incydenty, oraz ciągłego uczenia się na podstawie doświadczeń, co przekłada się na trwałe wzmacnianie odporności organizacyjnej.

W praktyce, funkcjonowanie systemu służy:

• zapobieganiu nadużyciom, poprzez tworzenie środowiska, które utrudnia ich wystąpienie m.in. przez etyczną kulturę organizacyjną, szkolenia, zarządzanie dostępem do zasobów, mechanizmy nadzoru oraz eliminację luk systemowych,

• skutecznemu wykrywaniu sygnałów ostrzegawczych i nieprawidłowości, z wykorzystaniem analiz, monitoringu, audytów i systemów zgłaszania nieprawidłowości przez sygnalistów (whistleblowing),

• podejmowaniu reakcji adekwatnych do skali i charakteru incydentu, z uwzględnieniem wymogów dowodowych, prawnych, kontraktowych i etycznych,

• prowadzeniu działań korygujących i doskonalących, których celem jest nie tylko usunięcie skutków, ale przede wszystkim przyczyn źródłowych wystąpienia nieprawidłowości.

FCMS wspiera także spójność i skuteczność działań compliance. Jego wdrożenie wzmacnia nadzór nad przestrzeganiem przepisów prawa, standardów etycznych i zobowiązań wewnętrznych. System ten staje się narzędziem budowania odporności, umożliwiając szybką adaptację do zmieniających się uwarunkowań prawnych, technologicznych i społecznych. Zintegrowanie zarządzania ryzykiem nadużyć z ogólną strategią organizacji sprzyja nie tylko eliminowaniu zagrożeń, ale też zwiększa efektywność działań, wartość reputacyjną i wiarygodność rynkową.

Wdrażając system FCMS zgodnie z ISO 37003, organizacja zyskuje realną zdolność zarządczą, a nie tylko formalne procedury. Działa świadomie, przewidująco i odpowiedzialnie nie dopiero wtedy, gdy pojawi się problem, lecz znacznie wcześniej, minimalizując prawdopodobieństwo jego zaistnienia i skalę potencjalnych strat.

Zakres stosowania normy

Norma ISO 37003:2025 została opracowana z myślą o zapewnieniu uniwersalnych i elastycznych ram zarządzania ryzykiem oszustw i nadużyć, które mogą być stosowane w różnorodnych kontekstach organizacyjnych. Zakres jej stosowania nie jest ograniczony ani do konkretnej branży, ani do konkretnego modelu działalności. Norma znajduje zastosowanie w organizacjach każdej wielkości i formy prawnej od międzynarodowych korporacji, przez podmioty publiczne i samorządowe, po organizacje pozarządowe i startupy.

System zarządzania ryzykiem oszustw i nadużyć może być z powodzeniem wdrażany zarówno w środowiskach silnie regulowanych (np. sektor finansowy, ochrony zdrowia, energetyczny), jak i w obszarach, gdzie działania prewencyjne są kluczowe dla utrzymania reputacji i zaufania (np. organizacje społeczne, edukacja, sektor MŚP). Elastyczna konstrukcja normy pozwala dostosować jej wymagania do skali, złożoności i ryzyka charakterystycznych dla danej organizacji niezależnie od jej struktury właścicielskiej, modelu operacyjnego czy zasięgu geograficznego.

Uniwersalność ISO 37003 opiera się na zasadach proporcjonalności i kontekstowości, dzięki czemu norma ta może stanowić realne wsparcie zarówno dla globalnych grup kapitałowych, jak i dla niewielkich podmiotów lokalnych, które poszukują uporządkowanego i efektywnego podejścia do przeciwdziałania nadużyciom.

Korzyści z wdrożenia systemu zarządzania zgodnego z ISO 37003

Wdrożenie systemu zarządzania ryzykiem oszustw i nadużyć zgodnego z ISO 37003 niesie ze sobą szereg wymiernych korzyści, które wzmacniają zarówno operacyjne, jak i strategiczne fundamenty organizacji. System oparty na tej normie usprawnia działania prewencyjne i reagowanie na incydenty oraz buduje zaufanie i wiarygodność organizacji w oczach interesariuszy.

Przede wszystkim, wdrożenie ISO 37003 przekłada się na wzrost zaufania ze strony klientów, partnerów, akcjonariuszy i organów nadzorczych, którzy coraz częściej oczekują przejrzystości oraz odpowiedzialności w zakresie zarządzania ryzykiem oszustw i nadużyć. Transparentne procedury i udokumentowane działania chronią organizację przed stratami finansowymi, odpowiedzialnością prawną oraz utratą reputacji, minimalizując jednocześnie ryzyko poważnych zakłóceń operacyjnych.

Dzięki jasno określonym na podstawie wyników oceny ryzyka mechanizmom zapobiegania, wykrywania i reagowania, system zwiększa skuteczność w identyfikowaniu oszustw i nadużyć. Dotyczy to zarówno tych oszustw i nadużyć popełnianych przez osoby wewnętrzne, jak i przez partnerów zewnętrznych. Poprawia również ład organizacyjny, wspierając współpracę między funkcjami compliance, audytu, HR, IT czy bezpieczeństwa informacji.

Norma ISO 37003 pozwala także przygotować organizację na zmieniające się wymagania regulacyjne, w tym związane z tematyką antyfraudową, przeciwdziałaniem korupcji, wymogami nadzorczymi czy rosnącym znaczeniem obszaru ESG (Environmental, Social, Governance).

System FCMS wdrożony zgodnie z ISO 37003 nie tylko ogranicza ryzyko, ale staje się elementem przewagi konkurencyjnej, świadczącym o dojrzałości organizacyjnej i odpowiedzialnym podejściu do zarządzania.

Powiązania z innymi normami ISO

Norma ISO 37003:2025 została zaprojektowana w sposób umożliwiający pełną integrację z innymi systemami zarządzania opartymi na strukturze wysokiego poziomu (HLS), a w szczególności z normami tworzącymi rodzinę ISO 37000 oraz normami z obszaru bezpieczeństwa informacji i zgodności. Dzięki temu możliwe jest spójne wdrażanie systemu zarządzania ryzykiem oszustw i nadużyć w ramach jednego, zintegrowanego podejścia zarządczego.

Do najistotniejszych zaliczyć należy:

• ISO 37301 (System zarządzania zgodnością). ISO 37003 pozostaje komplementarna wobec tej normy, stanowiąc jej rozwinięcie w zakresie zapobiegania i reagowania na incydenty fraudowe (oszustwa i nadużycia). Obie normy opierają się na zbliżonych zasadach.

• ISO 37001 (System zarządzania działaniami antykorupcyjnymi). Obie normy łączy wspólne podejście do zarządzania ryzykiem nieetycznych zachowań oraz wspierania przejrzystości, odpowiedzialności i kultury uczciwości. ISO 37003 w wielu punktach rozwija podejście antykorupcyjne, odnosząc się nie tylko do przekupstwa, ale do szerszego spektrum nadużyć i oszustw.

• ISO/IEC 27001 oraz ISO/IEC 27701 (Systemy zarządzania bezpieczeństwem informacji i prywatnością). Norma ISO 37003 wprost odnosi się do konieczności wdrażania zabezpieczeń technologicznych, ochrony danych w tym do zapewnienia integralności cyfrowych dowodów. Wymaga również koordynacji działań z funkcjami IT i bezpieczeństwa informacji. Istnieje tu wyraźna synergia, zwłaszcza w zakresie zarządzania oszustwami technologicznymi, przetwarzania danych i wykrywania anomalii systemowych.

Dzięki takiemu podejściu ISO 37003 umożliwia efektywną integrację zarządzania ryzykiem oszustw i nadużyć z innymi systemami zarządzania, wzmacniając spójność działań, efektywność operacyjną i zdolność organizacji do reagowania na dynamiczne zagrożenia zarówno te wynikające z czynników wewnętrznych, jak i zewnętrznych.

Kluczowe cechy wyróżniające ISO 37003 na tle innych systemów zarządzania

Norma ISO 37003 została opracowana jako element strukturalnie zgodny z innymi normami ISO przedstawiającymi wymagania dla systemów zarządzania oaz mogącymi stanowić podstawę do niezależnej certyfikacji zgodności takich systemów. Ze względu na budowę zgodną ze strukturą wysokiego poziomu (HLS) wykazuje spójność z innymi normami np. ISO/IEC 27001, ISO 9001, ISO 22301 itp. Zawiera jednak szereg wymagań specyficznych dla systemu zarządzania ryzykiem oszustw i nadużyć, które jednak ze względu na bliskość zagadnień są spójne z tymi, które są znane z ISO 37301 (system zarządzania zgodnością) czy ISO 37001 (system zarządzania działaniami antykorupcyjnymi). Wyróżniki te wynikają ze specyfiki zjawiska fraudu, jego ukrytego charakteru oraz potencjalnie wysokich konsekwencji i mają na celu zapewnienie realnej zdolności organizacji do prewencji, wykrywania i skutecznego reagowania.

Wymagania charakterystyczne dla norm z rodziny ISO 37000

ISO 37003, podobnie jak inne normy z rodziny 37000 (np. ISO 37001, ISO 37301), zawiera elementy odnoszące się do kluczowych mechanizmów organizacyjnych i kulturowych wspierających odpowiedzialność, etykę i zgodność.

Jednym z nich jest wymóg przeprowadzenia systemowej oceny ryzyka nadużyć (pkt 4.5) obejmującej identyfikację, analizę i ocenę prawdopodobieństwa oraz skutków potencjalnych oszustw, zarówno wewnętrznych, jak i 
zewnętrznych. Ocena ta ma na celu nie tylko identyfikację zagrożeń, ale również ukierunkowanie działań prewencyjnych i kontrolnych tam, gdzie są najbardziej potrzebne.

Kolejnym istotnym wyróżnikiem jest rola organu zarządzającego (governing body) przedstawiona w punkcie 5.1. Norma wskazuje, że skuteczne przeciwdziałanie nadużyciom wymaga aktywnego nadzoru, formalnego przypisania odpowiedzialności oraz podejmowania decyzji zgodnych z zasadami etyki i przejrzystości.

Na uwagę zasługują także wymagania związane z procesami personalnymi, w szczególności z:

• procesem zatrudniania, awansowania czy przesunięć, oświadczeń o zgodności oraz due diligence (pkt 7.2),

• delegowanie podejmowania decyzji (pkt. 5.3)

• systemem motywacyjnym i wynagradzania (pkt. 7.2), który nie może promować zachowań ryzykownych lub sprzyjających ukrywaniu nieprawidłowości,

• budowaniem świadomości i kompetencji w tym planowania i realizacji działań edukacyjnych nie tylko dla pracowników, ale również dla partnerów biznesowych (pkt 7.3), uwzględniających specyfikę zagrożeń fraudowych i rolę, jaką poszczególne osoby i podmioty mogą odgrywać w prewencji i wykrywaniu nieprawidłowości.

Elementy systemowe specyficzne dla ISO 37003

Oprócz elementów typowych dla rodziny norm ISO 37000, norma ISO 37003 zawiera również unikalne wymagania, w tym wynikające z natury ryzyka, jakim są nadużycia i oszustwa. Do kluczowych z nich należą:

• Integracja z kluczowymi funkcjami nadzorczymi
  Jedną z kluczowych cech systemu zgodnego z ISO 37003 jest konieczność ściślejszej współpracy z funkcjami audytu wewnętrznego, bezpieczeństwa informacji, compliance. Fraud nie powstaje w oderwaniu od organizacyjnej rzeczywistości. Jest często wynikiem braku kontroli, nieprawidłowości w procesach lub nieetycznego środowiska pracy. Norma podkreśla znaczenie zintegrowanego podejścia, w którym przeciwdziałanie nadużyciom staje się wspólną odpowiedzialnością wielu funkcji zarówno operacyjnych, jak i nadzorczych.

• Zarządzanie konfliktami interesów i ryzykiem niewłaściwych zachęt.
  Norma wymaga nie tylko deklaratywnego ich identyfikowania, lecz wdrożenia praktycznych rozwiązań zapobiegających sytuacjom, w których mogłoby dojść do naruszenia lojalności wobec organizacji lub wykorzystania pozycji w celu uzyskania osobistej korzyści. Analogiczne regulacje, jednak w bardzo lakonicznej formie wystąpiły już w normie ISO 37001:2025. W tym jednak przypadku zostały znacznie rozwinięte (czekamy na normę ISO 37009 Conflict of interest in organizations. Guidance)

• Promowanie systemu zarządzania ryzykiem oszustw i nadużyć (pkt 7.4.2).
  Norma nakłada wymóg promowania wiedzy o systemie FCMS wewnątrz organizacji. Chociaż punkt ten skupia się głównie na promowaniu systemu FCMS i nie odnosi się bezpośrednio do kultury organizacyjnej, to punkt 8.2.2 wypełnia tę lukę, wskazując na konieczność budowania spójnych ram integralności, które mają realny wpływ na postawy i wartości w organizacji. Tym samym norma potwierdza, że jak powiedział Peter Drucker „kultura organizacyjna zjada strategię na śniadanie”, i przewiduje konkretne działania wspierające etyczne fundamenty systemu zarządzania ryzykiem nadużyć.

• Zasady, procedury i systemy dokumentowania oraz poufności informacji (pkt 7.5.4).
  ISO 37003 wprowadza wyjątkowo rozbudowane, niespotykane w innych systemach zarządzania ISO wymagania dotyczące formalizacji zasad, procedur i systemów organizacyjnych, które obligują personel do prowadzenia dokładnej i kompletnej dokumentacji. Obejmuje to m.in. identyfikację i ochronę informacji poufnych, wykorzystanie dzienników audytu i metadanych, monitorowanie zgodności, sankcjonowanie celowych zaniedbań, zarządzanie dostępem oraz zapewnienie spójności zasad stosowanych przez partnerów biznesowych. Tak kompleksowe podejście wyraźnie wykracza poza standardowe ujęcie zarządzania dokumentacją w innych normach ISO.

• Zewnętrzny audyt systemu FCMS (9.3).
  Wymagania dotyczące możliwości poddania systemu FCMS niezależnej ocenie zewnętrznej. Audyt taki może być przeprowadzany zarówno przez organy nadzorcze, jak i podmioty trzecie w celu oceny skuteczności systemu oraz potwierdzenia zgodności z przyjętymi wymaganiami normy ISO 37003 i obowiązującymi przepisami.

• Działania operacyjne (pkt. 8).
  Na szczególną uwagę, jak zresztą w każdej normie ISO przedstawiającej wymagania dla systemów zarządzania zasługuje punkt 8. Działania operacyjne. Jak w innych systemach zarządzania koncentruje się on na działalności operacyjnej. W przypadku jednak tej normy został on podzielony na logiczne sekcje odpowiadające cyklowi życia działań podejmowanych w ramach systemu począwszy od planowania i wdrożenia mechanizmów kontrolnych, po działania podejmowane w odpowiedzi na zidentyfikowane przypadki nadużyć.

  Główne składowe punktu 8 to:

  • Pkt. 8.1 Planowanie działań operacyjnych i nadzorczych. Regulacje o charakterze ogólnym ukierunkowane na planowanie, wdrażanie i nadzorowanie procesów operacyjnych w celu zapewnienia, że realizowane są w sposób zapewniający zgodność z przyjętą polityką i celami.
    Na szczególną uwagę zasługuje fakt, że norma w tym punkcie identyfikuje aż 16 kluczowych ról wewnętrznych, które mogą odgrywać istotną funkcję w nadzorowaniu nadużyć. Organizacja powinna odpowiednio koordynować te obszary, aby skutecznie ograniczać narażenie na oszustwa i zwiększać spójność działań prewencyjnych i kontrolnych.

  • Pkt. 8.2 Zapobieganie oszustwom i nadużyciom. Wymagania dotyczące działań prewencyjnych i 
    ograniczających ryzyko wystąpienia nieprawidłowości.
    Punkt 8.2 normy ISO 37003 koncentruje się na budowie środowiska organizacyjnego odpornego na nadużycia. Wskazuje zestaw wymaganych środków zapobiegawczych, które mają na celu ograniczenie podatności organizacji na oszustwa i nadużycia jeszcze zanim do nich dojdzie. Zawarte w nim wymagania dotyczą zarówno fundamentów kultury organizacyjnej, jak i konkretnych mechanizmów operacyjnych:

    1. Postanowienia ogólne (8.2.1). Ramowe podejście do zapobiegania oszustwom, wskazując na potrzebę planowego, wielowymiarowego działania.

    2. Rozwój i promowanie skutecznych ram integralności (8.2.2). Wymagania dotyczące opracowania i utrwalania ram integralności definiowanych jako zbiór zasad, wytycznych i procesów wspierających uczciwe, odpowiedzialne i przejrzyste działanie organizacji, przy aktywnym zaangażowaniu organu zarządzającego, najwyższego kierownictwa oraz partnerów biznesowych. W przypadku stwierdzenia niskiego poziomu integralności, niezbędne jest podjęcie działań naprawczych i szkoleniowych.

    3. Zarządzanie konfliktem interesów (8.2.3). Obowiązki w zakresie identyfikacji, oceny i zarządzania sytuacjami, w których interesy prywatne mogą kolidować z obowiązkami służbowymi.

    4. Zabezpieczenia wewnętrzne i środowisko stosowania tych zabezpieczeń (8.2.4). Wymagania dotyczące ustanowienia skutecznych zabezpieczeń ograniczających ryzyko oszustw i nadużyć oraz wypracowania środowiska sprzyjającego ich stosowaniu i egzekwowaniu, z uwzględnieniem postawy kierownictwa, podziału odpowiedzialności i kultury zgodności.

    5. Testowanie zabezpieczeń („pressure testing”) (8.2.5). Wymagania dotyczące stosowania symulacji i testów w celu sprawdzenia skuteczności zabezpieczeń oraz wykrycia potencjalnych luk, zanim doprowadzą one do nadużyć.

    6. Zarządzanie celami powiązanymi z wynikami (8.2.6). Wymagania dotyczące takiego formułowania celów i wskaźników efektywności, aby nie motywowały one do zachowań nieetycznych, manipulacyjnych lub zwiększających ryzyko nadużyć.

    7. Postępowanie sprawdzające względem personelu (8.2.7). Wymagania dotyczące prowadzenia działań selekcyjnych, weryfikacji przeszłości i oceny wiarygodności kandydatów, w celu ograniczenia ryzyka zatrudnienia osób mogących dopuścić się nadużyć.
       Należy zwrócić uwagę na fakt, że opracowywane regulacje systemowe w tym zakresie musza być zgodne z mającymi zastosowanie przepisami prawa dotyczącymi ochrony prywatności.

    8. Ocena partnerów biznesowych (8.2.8). Bardzo szczegółowe jak na normy ISO wymagania dotyczące prowadzenia due diligence wobec kontrahentów, dostawców i innych podmiotów działających w imieniu organizacji, w celu ograniczenia ryzyka nadużyć zewnętrznych.

    9. Zapobieganie oszustwom technologicznym (8.2.9). Obowiązki wdrażania zabezpieczeń chroniących przed oszustwami opartymi na wykorzystaniu technologii, w tym systemów cyfrowych, danych i sztucznej inteligencji.
       Zabezpieczenia w tej materii są praktycznie tożsame z zabezpieczeniami wprowadzanymi w ramach systemu zarządzania bezpieczeństwem informacji. To kolejny punkt normy ISO 37003, w którym widoczne jest powiazanie ze standardami bezpieczeństwa informacji.

    10. Bezpieczeństwo fizyczne i zarządzanie zasobami (8.2.10). Wymagania dotyczące ochrony fizycznego dostępu do zasobów organizacji oraz zarządzania nimi w sposób ograniczający ryzyko nadużyć i kradzieży.

  • Pkt. 8.3 Wykrywanie nadużyć i oszustw. Wymagania toczące mechanizmów umożliwiających identyfikację potencjalnych i rzeczywistych przypadków fraudu.
    Punkt ten koncentruje się na tworzeniu skutecznych mechanizmów wykrywania nadużyć, zarówno na podstawie danych historycznych, jak i informacji bieżących. Podejście to zakłada integrację narzędzi analitycznych, kanałów zgłoszeń, informacji z różnych źródeł oraz wrażliwości organizacyjnej na sygnały ostrzegawcze. Działania detekcyjne mają charakter zarówno reaktywny (na zgłoszenia i incydenty), jak i proaktywny (monitoring i analiza danych). Każdy z podpunktów przedstawia konkretne wymagania w tej materii:

    1. Postanowienia ogólne (8.3.1). Wymagania dotyczące opracowania podejścia do wykrywania nadużyć, dostosowanego do specyfiki organizacji oraz wyników oceny ryzyka oszustw i nadużyć.

    2. Przeglądy retrospektywne transakcji (przeglądy potransakcyjne) (8.3.2). Wymagania dotyczące analiz transakcji po ich realizacji, w celu identyfikacji nietypowych wzorców, błędów lub potencjalnie nieprawidłowych operacji.

    3. Analiza sprawozdań rachunkowości zarządczej (8.3.3). Wymagania dotyczące systematycznej analizy raportów finansowych i operacyjnych, mogących ujawniać nieprawidłowości, nadużycia lub nieuzasadnione odchylenia.

    4. Identyfikacja wskaźników wczesnego ostrzegania (8.3.4). Wymagania dotyczące identyfikacji i monitorowania symptomów (red flags), które mogą wskazywać na potencjalne nadużycia i oszustwa, zanim wystąpią ich rzeczywiste skutki.

    5. Analityka danych (8.3.5). Wymagania dotyczące wykorzystywania narzędzi analitycznych do identyfikacji anomalii i ukrytych schematów, w tym analiz statystycznych, trendów i rozwiązań automatycznych.

    6. Zgłaszanie nadużyć, oszustw i nieprawidłowości (8.3.6). Wymagania dotyczące funkcjonowania systemów zgłaszania podejrzeń i rzeczywistych przypadków nadużyć i oszustw przez sygnalistów (whistleblowing), które powinny być niezależne, łatwo dostępne i gwarantować poufność zgłoszeń.
       W tym punkcie norma wskazuje norm zachęca do skorzystania z normy ISO 37002 jako źródła wytycznych dotyczących systemu zgłaszania nieprawidłowości. Należy jednak mieć na uwadze przede wszystkim obowiązujące w tej materii przepisy prawa.

    7. Systemy sztucznej inteligencji (8.3.7). Wymagania dotyczące nadzorowania wykorzystania systemów AI zarówno jako narzędzi do wykrywania nadużyć, jak i potencjalnego źródła nowych zagrożeń z obszaru ryzyka dotyczącego oszustw i nadużyć.
       W tym punkcie norma wskazuje normy ISO/IEC 42001 oraz ISO/IEC 22989 jako źródło dodatkowych informacji

    8. Zarządzanie skargami (8.3.8). Wymagania dotyczące wykorzystywania systemów obsługi skarg jako jednego ze źródeł informacji o możliwych nieprawidłowościach, niezależnie od formalnych kanałów do zgłaszania nieprawidłowości.

    9. Wywiady na zakończenie współpracy (8.3.9). Wymagania dotyczące prowadzenia rozmów z osobami opuszczającymi organizację, które mogą ujawnić niezgłoszone wcześniej przypadki nadużyć lub naruszeń.

  • Pkt. 8.4 Reagowanie na przypadki nadużyć. Wymagania dotyczące reakcji, w tym badania incydentów, działań następczych i współpracy w tym zakresie z interesariuszami.
    Punkt 8.4 normy ISO 37003 definiuje zintegrowane, systemowe podejście do zarządzania sytuacjami, w których organizacja identyfikuje lub podejrzewa wystąpienie nadużycia. Obejmuje on cały cykl działań od podjęcia natychmiastowej reakcji, przez prowadzenie dochodzenia i ocenę ustaleń, aż po działania naprawcze, komunikacyjne i analizę przyczyn źródłowych. Każdy z osiemnastu podpunktów rozwija kolejne etapy tego procesu:

    1. Postanowienia ogólne (8.4.1). Wymagania ogólne dotyczące szybkiego, proporcjonalnego i adekwatnego reagowania na incydenty, zgodnego z charakterem i skalą zagrożenia.

    2. Natychmiastowe działania po wykryciu oszustwa (8.4.2). Wymagania dotyczące niezwłocznego podjęcia działań mających na celu zabezpieczenie informacji i ograniczenie skutków potencjalnego nadużycia.

    3. Pierwsza reakcja na dowody cyfrowe (8.4.3). Wymagania dotyczące opracowania i wdrożenia procedur zabezpieczania dowodów cyfrowych w przypadku wykrycia lub podejrzenia oszustwa i nadużycia, obejmujące zapewnienie odpowiednich kwalifikacji personelu oraz zapewnienie zgodności z przepisami o ochronie danych i przyjętą w organizacji polityką IT.

    4. Dochodzenie w przypadku wykrycia nadużycia (8.4.4). Wymagania dotyczące przeprowadzenia formalnego dochodzenia w sytuacji potwierdzenia lub uzasadnionego podejrzenia oszustwa, z uwzględnieniem zasad rzetelności, dokumentowania i zgodności z przepisami.
       W tym punkcie norma wskazuje na specyfikację techniczną ISO/TS 37008 jako źródło dodatkowych informacji w zakresie postępowań dochodzeniowych.

    5. Uwzględnianie skarg i motywów osobistych (8.4.5). Wymagania dotyczące oceny zgłoszeń oszustw i nadużyć niezależnie od osobistych motywacji ich autorów. Nawet subiektywnie motywowane zarzuty mogą wskazywać na rzeczywiste nieprawidłowości wymagające zbadania.

    6. Postępowania dyscyplinarne (8.4.6). Wymagania dotyczące zapewnienia możliwości prowadzenia postępowań dyscyplinarnych w sposób udokumentowany, zgodny z zasadami rzetelności i sprawiedliwości, z możliwością zastosowania środków takich jak upomnienie, degradacja czy zwolnienie.

    7. Oddzielenie procesu dochodzenia od podejmowania decyzji (8.4.7). Wymagania dotyczące zapewnienia niezależności pomiędzy zespołem prowadzącym dochodzenie a osobą lub organem podejmującym decyzje na podstawie jego wyników w celu zagwarantowania obiektywizmu i bezstronności.

    8. Zarządzanie kryzysowe po wykryciu nadużycia (8.4.8). Wymagania dotyczące posiadania procedur zarządzania sytuacją kryzysową po ujawnieniu nadużycia, z uwzględnieniem jasnych zasad komunikacji wewnętrznej i zewnętrznej oraz roli zespołu ds. komunikacji.

    9. Wewnętrzne raportowanie i eskalacja (8.4.9). Wymagania dotyczące ustanowienia procesu rejestrowania, analizowania i przekazywania informacji o wszystkich wykrytych przypadkach nadużyć niezależnie od tego, czy zostały one formalnie zgłoszone kierownictwu.

    10. Rejestr przypadków oszustw i nadużyć (8.4.10). Wymagania dotyczące prowadzenia rejestru incydentów dotyczących oszustw i nadużyć, zawierającego konkretne informacje i dane, prowadzonego przez odpowiedzialną funkcję zgodnie z ustalonymi zasadami raportowania.

    11. Analiza i raportowanie przypadków oszustw i nadużyć (8.4.11). Wymagania dotyczące centralnego rejestrowania wszystkich przypadków oszustw i nadużyć i wykorzystania zebranych danych do analizy przyczyn, skutków, zarówno pod względem finansowym, jak i reputacyjnym oraz skuteczności stosowanych zabezpieczeń.

    12. Zewnętrzne raportowanie (8.4.12). Wymagania dotyczące ustalenia jasnych zasad zgłaszania przypadków nadużyć odpowiednim organom zewnętrznym, w tym policji czy regulatorom, zgodnie z obowiązującymi przepisami i jednolitą polityką organizacji.

    13. Dochodzenie roszczeń i odzyskiwanie mienia (8.4.13). Wymagania związane z podejmowaniem działań prawnych i operacyjnych mających na celu odzyskanie utraconych w wyniku oszustwa lub nadużycia środków i zasobów.

    14. Reagowanie na nadużycia i oszustwa partnerów biznesowych (8.4.14). Wymagania dotyczące oceny i reakcji na przypadki oszustw i nadużyć popełnionych przez kontrahentów, w tym przegląd relacji i zastosowanie odpowiednich środków kontraktowych i prawnych.

    15. Ubezpieczenie od skutków nadużyć i oszustw (8.4.15). Wymagania dotyczące analizy zasadności zawarcia ubezpieczenia chroniącego przed stratami wynikającymi z oszustw i nadużyć.

    16. Ocena stosowanych zabezpieczeń po wykryciu nadużycia lub oszustwa (8.4.16). Wymagania dotyczące przeglądu skuteczności istniejących zabezpieczeń, które mogły zawieść, oraz wdrożenia niezbędnych zmian w celu uniknięcia podobnych incydentów w przyszłości.

    17. Wpływ nadużycia lub oszustwa na inne strony zainteresowane (8.4.17). Wymagania związane z oceną konsekwencji incydentu dla interesariuszy, takich jak klienci, dostawcy czy społeczność lokalna oraz podjęciem stosownych działań komunikacyjnych w tym zakresie.

    18. Zakłócanie działalności sprawców (8.4.18). Wymagania dotyczące podejmowania aktywnych działań mających na celu utrudnienie dalszego działania sprawcom m.in. poprzez współpracę z organami ścigania, regulatorami lub wdrażanie sankcji.

Norma ISO 37003:2025 to nie tylko zestaw uporządkowanych praktyk i zabezpieczeń technicznych i organizacyjnych. To przede wszystkim narzędzie wspierające rozwój kultury organizacyjnej opartej na przejrzystości, etyce i odpowiedzialności. W dynamicznym i złożonym środowisku ryzyka, w jakim funkcjonują współczesne organizacje, samo posiadanie procedur jest niewystarczające. Kluczowe jest zakorzenienie wartości etycznych w codziennym funkcjonowaniu całej organizacji.

System zarządzania ryzykiem oszustw i nadużyć zgodny z ISO 37003 wspiera organizacje w budowie środowiska, w którym nieprawidłowości są nie tylko skutecznie wykrywane i analizowane, ale przede wszystkim rzadziej występują, ponieważ personel i partnerzy rozumieją znaczenie uczciwego działania i wiedzą, że funkcjonuje realny nadzór w tej materii. Wdrażając tę normę, organizacja pokazuje, że nie traktuje przeciwdziałania oszustwom i nadużyciom wyłącznie jako obowiązku, ale jako wyraz dojrzałości zarządczej i troski o długofalowe zaufanie interesariuszy.

ISO 37003 staje się w ten sposób fundamentem kultury odpowiedzialności spajającym strategię, procesy, ludzi i wartości w jednolitą strukturę ukierunkowaną na przeciwdziałanie nieuczciwym zachowaniom, niezależnie od ich formy czy źródła.

Zapraszamy do współpracy w ramach projektowania, wdrażania oraz szkoleń
z zakresu Systemu Zarządzania Ryzykiem Oszustw i Nadużyć ISO 37003

Materiały źródłowe:

• ISO 37003:2025 “Fraud control management systems. Guidance for organizations managing the risk of fraud”

• ISO 37301:2021 “Compliance management systems. Requirements with guidance for use” (PN-ISO 37301:2022-07 “Systemy zarządzania zgodnością. Wymagania i wytyczne stosowania”

• ISO 37001:2025 “Anti-bribery management systems. Requirements with guidance for use”

• ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection. Information security management systems. Requirements” (PN-EN ISO/IEC 27001:2023-08. „Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności. Systemy zarządzania bezpieczeństwem informacji. Wymagania”

• ISO/IEC 27701:2019 “Security techniques. Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. Requirements and guidelines” (PN-EN ISO/IEC 27701:2021-09 “Techniki bezpieczeństwa. Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o ochronie prywatności. Wymagania i wytyczne)