DNV-undersøgelsen viste, at virksomhederne er mest bekymrede over overholdelse af reglerne, omdømme og etiske risici. For at opfylde lovkrav står øverst på listen (78 %) over årsager til at anvende forebyggende foranstaltninger til bekæmpelse af bestikkelse. Der er næppe tvivl om, at anvendelse af anerkendte metoder som ISO-standarderne kan gøre det lettere at overholde lovgivningen og forbedre evnen til også at håndtere andre risici. I begyndelsen var det dog langsomt at indføre standarden for ledelsessystemer til bekæmpelse af bestikkelse, men det ser nu ud til at gå hurtigere. I 2018 var kun 389 organisationer certificeret i henhold til ISO 37001, og selv om dette tal nåede op på 2 896 i 2021, er det stadig meget lavt sammenlignet med de over 1 million organisationer på verdensplan, der for eksempel er certificeret i henhold til ISO 9001, standarden for kvalitetsstyringssystemer.
Fordele ved en proaktiv tilgang
Mange virksomheder begynder ofte en struktureret rejse og måske en certificering til ISO 37001 efter en hændelse med store økonomiske tab og bøder til følge i deres organisation. Dette tyder på, at de fleste virksomheder ville have haft gavn af en mere proaktiv tilgang.
ISO 37001 indeholder krav og vejledninger til alle organisationer, der ønsker at etablere, implementere, revidere og forbedre et ledelsessystem til bekæmpelse af bestikkelse. Kravene er udformet til at hjælpe med at forebygge, opdage og reagere på bestikkelse samt overholde love og frivillige forpligtelser mod bestikkelse. Certificering efter ISO 37001 sikrer interessenter, både internt og eksternt, at effektive forebyggende foranstaltninger til bekæmpelse af bestikkelse er på plads, og at de også vedligeholdes og løbende forbedres.
ISO 37001 dækker primært bestikkelse, men andre aspekter som f.eks. svig eller hvidvaskning af penge kan indgå i ledelsessystemets anvendelsesområde i overensstemmelse med relevant lovgivning og best-practice.
Etablering af et ISO 37001 klagehåndteringssystem vil helt sikkert bidrage til at skabe en bedre forståelse af risici både internt og i hele forsyningskæden. Vigtigst af alt giver det mulighed for en proaktiv tilgang til problemet. Oftest vil der være advarselslamper, der blinker. Et ledelsessystem, der omfatter awareness training og whistleblowing-mekanismer, vil sandsynligvis forbedre enhver organisations evne til at forebygge eller afsløre problemer, der skal håndteres.
Hvad opnår virksomheder, der er certificeret efter ISO 37001?
Når vi dykker ned i data fra alle de audits af ledelsessystemer til bekæmpelse af bestikkelse, som DNV har udført i 2022, får vi et unikt indblik i de områder, som virksomheder der er certificeret efter ISO 37001 finder mest udfordrende. Men når virksomhederne ved, hvor deres risici (svagheder) ligger, kan de bedre træffe effektive forebyggende foranstaltninger.
De områder i standarden, der giver virksomhederne størst anledning til bekymring, er kapitel 7 Support og kapitel 8 Drift, hvor henholdsvis 83 % og 88 % får anmærkninger. For henholdsvis 50 % og 62 % af virksomhederne er der tale om manglende overensstemmelse, hvilket betyder, at der skal gennemføres korrigerende foranstaltninger for at være i fuld overensstemmelse med ISO 37001-kravene.
Kapitel 4 "Organisationens kontekst" og kapitel 5 "Ledelse" ser også ud til at forårsage problemer med resultater på henholdsvis 76 % (32 % med manglende overensstemmelse) og 71 % (34 % med manglende overensstemmelse).
Det skal bemærkes, at disse fire kapitler sammen med kapitel 9, Ydeevnevurdering, indeholder langt flere obligatoriske krav end de andre kapitler i standarden. Det høje antal af manglende overensstemmelser i disse kapitler kan dog ofte tilskrives modenhedsniveauet. Dette bør forbedres i takt med, at organisationerne forbedrer deres ledelsessystemer og implementering.
Hvis man dykker dybere ned i underpunkterne i standarden og analyserer de mest almindelige anmærkninger og afvigelser, er det klart, at due diligence, risikovurderinger og kontroller skal behandles yderligere i de fleste virksomheder.
Størstedelen af resultaterne i kapitel 8 Drift skyldes, at dette kapitel gælder for alle processer i organisationen. Kapitel 8 omfatter f.eks. gennemførelsen af due diligence-undersøgelser, som gælder for personer, forretningspartnere, aktiviteter, projekter, transaktioner og ekstraordinære transaktioner som f.eks. fusioner og overtagelser. Det er almindeligt, at due diligence-aktiviteter til bekæmpelse af bestikkelse forveksles med andre due diligence-aktiviteter, der allerede anvendes i organisationen, selv om processerne er forskellige og adskilte.
Det høje antal spørgsmål i kapitel 4 "Organisationens rammer" viser manglende dokumentation i systemet og i kapitel 5 "Ledelse" manglende engagement fra ledelsens side eller ukorrekt håndtering af interessekonflikter. Kapitel 7 Støtte indeholder krav til de menneskelige ressourcer med hensyn til forvaltning af udvælgelsesprocessen, ansættelse af personale, intern kommunikation, forvaltning af løn- og incitamentspolitikker og uddannelse i bekæmpelse af bestikkelse. Resultaterne i kapitel 9, Evaluering af præstationer, vedrører dårlig overvågning af forvaltningssystemet til bekæmpelse af bestikkelse, hvilket er vigtigt at få styr på for at kunne forbedre sig.
Selv om der er centrale områder, hvor de certificerede virksomheder kan og skal forbedre sig, er fordelen for disse virksomheder, at de er bevidste om deres risici og om, hvor de skal koncentrere deres forbedringsindsats. Virksomheder, der nøjes med at gennemføre en politik til bekæmpelse af bestikkelse, hvilket DNV's undersøgelse viste, at mange af dem gør, har imidlertid kun ringe kontrol over deres risici eller midler til at afdække og håndtere en eventuel hændelse.