DNV:s undersökning visade att företagen är mest oroade över efterlevnad, rykte och etiska risker. Att uppfylla rättsliga krav toppar listan (78 %) över skälen till att vidta åtgärder mot mutor och bestickning. Det råder ingen tvekan om att tillämpningen av accepterade bästa metoder som ISO-standarderna kan göra det lättare att följa lagstiftningen och förbättra förmågan att hantera andra risker. Tillämpningen av standarden för ledningssystem för bekämpning av mutor var dock långsam till en början, men tycks nu ta fart. År 2018 var endast 389 organisationer certifierade enligt ISO 37001 och även om det antalet nådde 2 896 år 2021 är det fortfarande en liten del jämfört med de över 1 miljon organisationer som globalt är certifierade enligt ISO 9001, standarden för kvalitetsledningssystem, till exempel.
Fördelar med ett proaktivt tillvägagångssätt
Många företag påbörjar en strukturerad resa och kanske en certifiering enligt ISO 37001 efter en incident - som ofta resulterar i stora ekonomiska förluster och böter - inom organisationen. Detta verkar tyda på att de flesta företag skulle ha tjänat på en proaktiv snarare än en reaktiv strategi.
ISO 37001 innehåller krav och vägledning för alla organisationer som vill upprätta, införa, granska och förbättra ett ledningssystem för bekämpning av mutor och bestickning. Kraven är utformade för att hjälpa till att förebygga, upptäcka och reagera på mutor samt att följa lagar och frivilliga åtaganden mot mutor. Certifiering enligt ISO 37001 garanterar intressenter, internt och externt, att effektiva åtgärder mot mutor finns på plats, underhålls och förbättras kontinuerligt.
ISO 37001 omfattar i första hand mutor, men också andra aspekter, t.ex. bedrägeri och penningtvätt, kan ingå i ledningssystemets tillämpningsområde i enlighet med relevant lagstiftning och bästa praxis.
Att inrätta ett system för hantering av klagomål enligt ISO 37001 kommer säkerligen att bidra till att skapa en bättre förståelse för riskerna både internt och i hela leveranskedjan. Framför allt möjliggör det en proaktiv snarare än reaktiv inställning till frågan. Oftast visar förövarna beteendemässiga röda flaggor. Ett ledningssystem som omfattar utbildning om medvetenhet och mekanismer för att anmäla missförhållanden kommer sannolikt att förbättra organisationens förmåga att förebygga eller avslöja problem som måste hanteras.
Vad upptäcker företag som är certifierade enligt ISO 37001?
Genom att titta på data från alla revisioner av ledningssystem mot mutor som utfördes av DNV under 2022 får man en unik inblick i de områden som företag som är certifierade enligt ISO 37001 anser vara de mest utmanande. Att veta var deras risker finns gör det möjligt att vidta effektiva förbättringsåtgärder.
De områden i standarden som ger företagen mest bekymmer är kapitel 7 Support och kapitel 8 Operations, där 83 % respektive 88 % får anmärkningar. För cirka 50 % respektive 62 % av företagen är det fråga om avvikelser, vilket innebär att korrigerande åtgärder måste vidtas för att uppfylla kraven i ISO 37001 fullt ut.
Kapitel 4 Organisationens sammanhang och kapitel 5 Ledarskap verkar också orsaka problem med resultat på 76 % (32 % med avvikelser) respektive 71 % (34 % med avvikelser).
Det bör noteras att dessa fyra kapitel tillsammans med kapitel 9, Prestandautvärdering, innehåller en mycket högre nivå av obligatoriska krav än de andra kapitlen i standarden. Det höga antalet avvikelser i dessa kapitel beror dock med största sannolikhet på mognadsgraden. Detta bör förbättras i takt med att organisationerna förbättrar sina ledningssystem och sitt genomförande.
Om man går djupare in i underpunkterna i standarden och analyserar de vanligaste resultaten och avvikelserna är det tydligt att due diligence, riskbedömningar och kontroller måste behandlas ytterligare i de flesta företag.
Den högre koncentrationen av resultat i kapitel 8 Drift beror på att detta kapitel gäller alla processer i organisationen. Det omfattar till exempel due diligence-undersökningar som gäller personer, affärspartner, verksamheter, projekt, transaktioner och extraordinära transaktioner som fusioner och förvärv. Det är vanligt att due diligence-åtgärder mot mutor förväxlas med andra due diligence-åtgärder som redan används i organisationen, trots att processerna är olika och separata.
Det höga antalet frågor i kapitel 4 Organisationens sammanhang visar på bristande dokumentation i systemet och i kapitel 5 Ledarskap på bristande engagemang från ledningsgruppen eller felaktig hantering av intressekonflikter. Kapitel 7 Stöd innehåller krav som gäller personalresurser när det gäller hantering av urvalsprocessen, personalrekrytering, intern kommunikation, hantering av ersättnings- och incitamentspolitik samt utbildning om mutor och bestickning. Resultaten i kapitel 9, Utvärdering av prestationer, gäller dålig övervakning av förvaltningssystemet för bekämpning av mutor, vilket är viktigt att få rätt för att kunna förbättras.
Även om det finns centrala områden där de certifierade företagen kan och måste förbättra sig, är fördelen för dessa företag att de är medvetna om sina risker och om var de ska koncentrera sina förbättringsinsatser. Företag som nöjer sig med att bara genomföra en policy mot mutor, vilket DNV:s undersökning visade att många gör, har dock liten kontroll över sina risker eller möjligheter att avslöja och hantera en incident om den skulle inträffa.