DNV-undersøkelsen avdekket at bedrifter er mest bekymret for risiko knyttet til samsvar, omdømme og etikk. Å møte juridiske krav topper listen (78 %) over grunner til å iverksette antikorrupsjonstiltak. Det er liten tvil om at man ved å bruke svært anerkjente praksiser, som ISO-standardene, kan gjøre det lettere å overholde lover og regler – og også forbedre evnen til å håndtere andre former for risiko. Likevel har implementeringen av ledelsessystemstandarden for antikorrupsjon gått langsomt i starten, men ser nå ut til å skyte fart. I 2018 var bare 389 organisasjoner sertifisert i henhold til ISO 37001, og selv om dette tallet nådde 2896 i 2021, er det fortsatt svært beskjedent sammenlignet med de over 1 million organisasjonene rundt om i verden som er sertifisert i henhold til ledelsessystemstandarden for kvalitet, ISO 9001, for eksempel.
Fordelene ved en proaktiv tilnærming
Mange bedrifter innleder en strukturert prosess og kanskje sertifisering i henhold til ISO 37001 først etter en hendelse i organisasjonen som har resultert i store økonomiske tap og bøter. Dette kan tyde på at de fleste bedrifter ville ha tjent på en proaktiv tilnærming i stedet for den reaktive varianten.
ISO 37001 gir enhver organisasjon kravene og veiledningen den trenger for å etablere, innføre, kvalitetssikre og forbedre et ledelsessystem for antikorrupsjon. Kravene er utformet for å bidra til å forebygge, avdekke og reagere på korrupsjon samt overholde antikorrupsjonslover og frivillige forpliktelser. Sertifisering i henhold til ISO 37001 forsikrer både interne og eksterne interessenter om at effektive antikorrupsjonstiltak er på plass, vedlikeholdes og forbedres løpende.
Selv om ISO 37001 primært dekker korrupsjon, kan andre aspekter, som bedrageri eller hvitvasking, inkluderes i ledelsessystemet i samsvar med relevante lover, forskrifter og beste praksiser.
Det å etablere et ledelsessystem som følger ISO 37001, vil definitivt bidra til å bygge en bedre forståelse av risiko både internt og i leverandørkjeden. Ikke minst muliggjør det en proaktiv snarere enn reaktiv tilnærming til problemet. I flertallet av tilfellene utviser gjerningspersonene en mistenkelig atferd. Et ledelsessystem som dekker varslingsmekanismer og styrking av beredskapen, vil sannsynligvis forbedre enhver organisasjons evne til å forebygge og avdekke problemer som bør tas tak i.
Hva oppdager ISO 37001-sertifiserte bedrifter?
Når vi undersøker dataene fra alle revisjoner av ledelsessystemer for antikorrupsjon som DNV utførte i 2022, får vi et unikt innblikk i områdene som ISO 37001-sertifiserte bedrifter finner mest utfordrende. Så snart de er klar over risikoområdene sine, blir det imidlertid mulig å iverksette effektive forbedringstiltak.
Områdene som volder bedriftene mest bekymring, er Kapittel 7 Support og Kapittel 8 Operations, der henholdsvis 83 og 88 prosent får funn. For rundt henholdsvis 50 og 62 prosent av bedriftene er disse funnene avvik, som betyr at korrigerende tiltak må iverksettes for fullt ut å overholde ISO 37001-kravene.
Kapitel 4 Context of the organization og kapittel 5 Leadership ser også ut til å forårsake problemer, med funn på henholdsvis 76 prosent (32 prosent med avvik) og 71 prosent (34 prosent med avvik).
Man bør merke seg at disse fire kapitlene, sammen med Kapittel 9 Performance evaluation, setter langt flere obligatoriske krav enn de andre kapitlene i standarden. Likevel kan det høye antallet avvik i disse kapitlene med stor sikkerhet tilskrives modenhetsnivået. Dette bør forbedres etter hvert som organisasjoner forbedrer ledelsessystemene sine og implementeringen av dem.
Hvis vi går dypere inn i punktene i standarden og analyserer de vanligste funnene og avvikene, blir det tydelig at due diligence (selskapsgjennomgang), risikovurderinger og kontroller trenger mer oppmerksomhet i de fleste bedrifter.
Den høyere konsentrasjonen av funn i Kapittel 8 Operation skyldes at dette kapitlet gjelder for alle prosesser i organisasjonen. Eksempelvis inkluderer det due diligence, som gjelder for personale, forretningspartnere, aktiviteter, prosjekter, transaksjoner og ekstraordinære transaksjoner som oppkjøp og sammenslåinger. Det er vanlig å forveksle due diligence på området antikorrupsjon med andre due diligence-aktiviteter som allerede er i bruk i organisasjonen, selv om prosessene er forskjellige og atskilte.
Det høye antallet problemer i Kapittel 4 Context of the organization viser en mangel på dokumentasjon i systemet, og i Kapittel 5 Leadership viser det svakt engasjement fra ledelsens side eller feilaktig håndtering av interessekonflikter. Kapittel 7 Support inneholder krav som gjelder for HR med hensyn til styring av utvelgelsesprosessen, rekruttering, intern kommunikasjon, styring av retningslinjer for lønn og incentiver samt kursing i antikorrupsjon. Funn mot Kapittel 9 Performance evaluation har å gjøre med dårlig overvåking av ledelsessystemet for antikorrupsjon, som det er avgjørende å få korrekt dersom man skal ha håp om å forbedre seg.
Selv om det finnes sentrale områder der de sertifiserte bedriftene kan og må forbedre seg, har disse bedriftene den fordelen at de er klar over svakhetene sine og vet hvor de skal sette inn forbedringsarbeidet. Bedrifter som nøyer seg med bare å innføre en antikorrupsjonspolicy, som DNV-undersøkelsen viste er tilfellet for mange, har imidlertid liten kontroll både over egne svakheter og midlene til å avdekke og håndtere en eventuell hendelse.