ISO 37001

ISO 37001 este un standard de sistem de management cu o structură similară cu cea a altor standarde populare precum ISO 9001 sau ISO/IEC 27001. Totuși aici este vorba despre un subiect mai aparte, un subiect sensibil pentru multe organizații, respectiv prevenirea, combaterea și tratarea situațiilor de dare sau primire de mită.

Standardul se referă atât la situațiile în care mita este inițiată de către personalul organizației sau de terți ce acționează în numele acesteia, cât și la situațiile în care angajații companiei (entității) sunt cei ce primesc mită.

Este evident că implementarea și certificarea unui sistem de management conform cu cerințele ISO 37001 nu va elimina riscurile de corupție, acest demers demonstrează că există un angajament asumat al organizației și că sunt implementate măsuri pentru a trata aceste riscuri.

Descriem în continuare pe scurt cerințele lui ISO 37001, cu mențiunea că acestea trebuie înțelese și aplicate în contextul activităților și specificului fiecărei organizații și desigur a riscurilor de corupție cu care se confruntă.

ISO 37001 solicită organizației ce implementează un sistem de management anti-mită să identifice contextul în care operează inclusiv aspectele din interiorul său și din afară care îi pot afecta sistemul de management și direcția strategică. Este necesară de asemenea o identificare a părților interesate (de exemplu parteneri de afaceri, clienți, angajați, autorități, etc.) în rezultatele sistemului de management.

Este necesară definirea domeniului de aplicare a sistemului de management anti-mită. Acesta poate acoperi întreaga organizație sau numai anumite unități organizaționale și activități. Este alegerea organizației, ce urmează să includă în domeniul de aplicare al sistemului său de management anti-mită.

O cerință esențială a standardului este cea referitoare la evaluarea de risc de mituire. Organizația trebuie să realizeze o evaluare de risc care să identifice acele riscuri de mituire ce pot fi anticipate în mod rezonabil, să evalueze și să prioritizeze riscurile de mituire. Această evaluare de risc trebuie analizată cu regularitate și atunci când este necesar ea trebuie actualizată.

Conducerea organizației ce implementează sistemul de management anti-mită trebuie să susțină în mod activ acest demers.

Manangementul de vârf trebuie să stabilească și să comunice în cadrul organizației o politică anti-mită, să definească roluri, responsabilități și autorități în ceea ce privește prevenirea, identificarea și combaterea corupției, inclusiv desemnarea unei persoane (sau a mai multora) pentru a ocupa funcția de conformare anti-mită.

Este necesar a fi defnite și urmărite obiective anti-mită și standardul ISO 37001 solicită elaborarea de planuri pentru atingerea obiectivelor, planuri ce vor detalia printre altele ce acțiuni se vor întreprinde, de către cine, cu ce resurse și în ce interval de timp.

Organizația trebuie să se asigure că personalul său deține competența necesară în domeniul prevenirii și combaterii corupției și pentru a atinge acest deziderat vor fi în mod normal necesare acțiuni precum furnizarea de instruire, conștientizare sau redistribuirea de responsabilități.

Procesul de angajare este tratat de către ISO 37001 iar în acest domeniu standardul se așteaptă ca condițiile de angajare să includă solicitarea ca personalul să se conformeze prevederilor politicii anti-mită. După angajare personalul va primi un exemplar al politicii anti-mită precum și instruire referitoare la prevederile acesteia.

Este necesar un proces disciplinar, comunicat tuturor angajaților și care să permită organizației să întreprindă măsuri împotriva acelor angajați ce decid să nu respecte politica anti-mită și cerințele de conformare ale organizației.

În același timp personalul trebuie conștientizat asupra faptului că nu vor exista niciun fel de represalii, acte de discriminare sau acțiuni disciplinare pentru acei angajați care refuză să participe la acțiuni sau demersuri despre care consideră că induc riscuri de mituire.

În aceeași măsură formularea de îngrijorări cu bună credință și raportarea de fapte suspectate sau știute a implica mituire nu va conduce la represalii, discriminare sau acțiuni disciplinare împotriva whistleblowerilor (raportorilor).

Pentru pozițiile ce sunt expuse unor riscuri de mituire semnificative (conform evaluării de risc) organizația va trebui să realizeze investigații preventive rezonabile anterior angajării, transferului sau promovării unei persoane pe o asemenea poziție.

Personalul trebuie conștientizat cu privire la importanța conformării cu cerințele anti-mită, modul în care pot fi raportate suspiciuni și îngrijorări, circumstanțele în care poate apărea mituirea și cum pot aceastea să fie identificate, contribuția fiecăruia la îmbunătățirea performanțelor dar și care pot fi consecințele (pentru organizație și pentru persoană) a neconformării cu cerințele anti-mită.

Sistemul de management trebuie susținut de o documentație, ce include de regulă proceduri, regulamente, manuale, politici și diverse înregistrări ce demonstrează conformitatea. Această documentație trebuie controlată pentru a asigura că este protejată și disponibilă când și unde este necesară.

Pentru riscurile de mituire identificate organizația trebuie să aplice controale proporționale și rezonabile.

Aceste controale includ investigații preventive rezonabile pentru tranzacții, proiecte și activități, pentru relații planificate sau actuale cu parteneri de afaceri. Aceste investigații preventive (due-diligence) vor fi în strânsă relație cu riscurile de mituire asociate diferitelor relații, tranzacții, activități și sunt menite a genera informații suficiente pentru a permite organizației să decidă cu privire la conduita sa optimă.

Sunt necesare controale financiare (de exemplu aprobarea plăților, solicitarea de documente justificative anterior aprobării de plăți, restricționarea utilizării numerarului, audituri financiare periodice, etc.) precum și controale nefinanciare (de exemplu segregarea sarcinilor, atribuirea contractelor prin proceduri competitive transparente, implicarea a cel puțin două persoane în deciziile privind acordarea contractelor, modificarea termenilor contractuali numai cu aprobarea a cel puțin două persoane sau restricționarea accesului la documente sensibile ce includ de pildă prețuri și termene contractuale).

Organizația trebuie să solicite aplicarea de controale anti-mită de către organizațiile controlate (dacă este cazul) precum și de către partenerii săi de afaceri. În situația în care aceste controale nu pot fi solicitate din diverse motive sau nu sunt aplicate de către parteneri, organizația va trebui să decidă asupra începerii sau continuării relației respective.

Partenerii de afaceri expuși unui risc de mituire semnificativ trebuie ca organizația să solicite angajamente anti-mită referitoare la tranzacția, proiectul, activitatea pe care părțile o derulează în colaborare.

ISO 37001 solicită stabilirea de reguli cu privire la oferirea și primirea de cadouri, ospitalitate, donații, sponsorizări și alte beneficii ce ar putea masca (sau ar putea fi considerate a masca) în fapt mituirea.

Organizația trebuie să dețină proceduri care să încurajeze raportarea cazurilor de mituire dovedite sau suspectate, iar personalul ce face aceste raportări trebuie să fie protejat și ferit de represalii. Aceste proceduri trebuie să permită raportarea anonimă și să informeze cu privire la posibilitatea persoanelor de a fi consiliate cu privire la ce trebuie făcut în situația în care există o preocupare asupra unei situații despre care se crede că poate implica mituire.

Rapoartele primite cu privire la cazuri de mituire dovedite sau suspectate trebuie să fie investigate în mod confidențial de persoane independente de spețele raportate și rezultatele investigațiilor trebuie comunicate funcției de conformare anti-mită.

În continuare ISO 37001 cere organizației să măsoare și să monitorizeze performanța sa anti-mită și eficacitatea sistemului său de management. Ar trebuie stabiliți și urmăriți indicatori de performanță iar datele colectate vor trebui analizate și evaluate pentru a putea fi formulate concluzii și luate decizii.

Organizația trebuie să auditeze intern la intervale planificate sistemul său de management anti-mită pentru a confirma că acesta respectă cerințele, este implementat și funcționează eficace. Analize ale conducerii trebuie să aibă loc periodic cu scopul de a confirma adecvarea și eficacitatea sistemului de management și pentru a stabili măsuri de îmbunătățire.

Neconformitățile identificate în cadrul sistemului de management anti-mită trebuie tratate prin aplicarea de acțiuni corective iar organizația trebuie să acționeze în mod constant pentru a-și îmbunătăți sistemul de management și performanța în domeniul prevenirii, identificării și combaterii actelor de corupție.

Acestea ar fi, pe scurt, cerințele pe care o organizație ce dorește să implementeze și să își certifice un sistem de management anti-mită, conform ISO 37001:2016, trebuie să le îndeplinească.