Pierwsza ankieta due diligence od zachodniego kontrahenta przychodzi zazwyczaj bez ostrzeżenia. Norma ISO 37001:2025 zmienia ten moment z kryzysu w atut konkurencyjny.
Pierwsza ankieta due diligence przychodzi zazwyczaj bez ostrzeżenia. Wdrożenie ISO 37001:2025 zajmuje 3–4 miesiące dla MŚP, 5–7 dla średnich firm.
Wprowadzenie
W kwietniu 2026 r. Rada UE formalnie przyjęła nową dyrektywę o zwalczaniu korupcji — pierwszy akt harmonizujący definicje przestępstw korupcyjnych w 27 państwach członkowskich, z terminem transpozycji 24–36 miesięcy. Dla polskich firm oznacza to jedno: presja compliance w łańcuchach dostaw przyspieszy, a duzi klienci zachodni już dziś weryfikują dostawców pod kątem dojrzałości antykorupcyjnej.
W tym kontekście druga edycja ISO 37001 z lutego 2025 r. nie jest dokumentem dla audytorów. To narzędzie biznesowe pozwalające organizacjom odpowiedzieć na rosnącą falę kwestionariuszy due diligence — bez paniki i bez kosztownej imitacji rozwiązań korporacyjnych.
Kluczowe wymagania normy ISO 37001:2025
Wystarczy znać tylko kluczowe wymagania ISO 37001:2025 aby należycie odpowiedzieć na pytania zawarte w ankiecie due diligence. A takch coraz więcej pojawia się na rynku, zwłaszcza z klientami francuskimi.
Co nowego wnosi druga edycja
Druga edycja normy — opublikowana w lutym 2025 r. po dziewięciu latach od pierwszego wydania — zachowuje strukturę High Level Structure wspólną dla wszystkich norm zarządzania ISO, ale wzmacnia trzy obszary kluczowe dla organizacji operujących w łańcuchach dostaw zachodnich klientów: zasadę proporcjonalności (§ A.8), rozszerzone due diligence kontrahentów (§ 8.2 i Załącznik A.10) oraz ułatwioną integrację z ISO 9001 i ISO 37301.
Proporcjonalność wdrożenia — gdy MŚP nie musi udawać korporacji
Najczęstszy mit blokujący wdrożenie w polskim sektorze MŚP brzmi: „ISO 37001 jest dla dużych firm, my nie mamy budżetu na taki system”. Norma w drugiej edycji jasno odpowiada — § A.8 wprost dopuszcza środki adekwatne do skali, charakteru i ryzyka organizacji. Mała firma usługowa z siedmioma pracownikami nie potrzebuje komitetu etyki, działu compliance i Chief Compliance Officera. Potrzebuje natomiast jednej polityki antykorupcyjnej, jednej osoby pełniącej funkcję pełnomocnika, jednej oceny ryzyka, jednego kanału zgłoszeń sygnalistów oraz klauzul antykorupcyjnych w umowach z kontrahentami. System w wersji proporcjonalnej można uruchomić w 3–4 miesiące przy zaangażowaniu właściciela lub jednej osoby zarządzającej.
Due diligence kontrahentów — sedno § 8.2 i Załącznika A.10
Sekcja 8.2 wraz z rozbudowanym Załącznikiem A.10 stanowi sedno II wydania. Norma wymaga, by organizacja oceniała ryzyko korupcji związane z kontrahentami i stosowała środki proporcjonalne do tego ryzyka. W praktyce — dla kontrahentów o niskim ryzyku wystarczy podstawowa weryfikacja rejestrowa i klauzula antykorupcyjna w umowie. Dla relacji o ryzyku ponadprzeciętnym (kontrahenci z krajów o wysokim wskaźniku korupcji według CPI Transparency International, sektory regulowane, projekty o dużej wartości) wymagana jest pogłębiona analiza: kwestionariusz, sprawdzenie list sankcyjnych UE, ONZ i OFAC, weryfikacja beneficjentów rzeczywistych. To dokładnie ten mechanizm, którego oczekują od polskich dostawców klienci z Francji, Niemiec czy Holandii — i to ten mechanizm pozwala odpowiedzieć na ich kwestionariusze z pozycji systemowej, a nie improwizowanej.
Pełnomocnik ds. Przeciwdziałania Korupcji — § 5.3
Niezależność i bezpośredni dostęp do organu zarządzającego to dwa nieusuwalne wymogi wobec pełnomocnika. W MŚP rolę tę często pełni członek zarządu lub osoba podległa bezpośrednio prezesowi — pod warunkiem rozdzielenia jej obowiązków od funkcji generujących ryzyko korupcyjne (sprzedaż, zakupy, kontakty z administracją publiczną). Pełnomocnik prowadzi rejestr ryzyka, koordynuje audyty wewnętrzne i obsługuje kanał zgłoszeń sygnalistów. Dla zewnętrznych interesariuszy — zwłaszcza audytorów drugiej strony — jego obecność i kompetencje są pierwszym widocznym dowodem dojrzałości systemu.
Korzyści z wdrożenia
Najbardziej namacalna korzyść z wdrożenia ISO 37001:2025 ujawnia się w momencie pierwszego kontaktu z zachodnim klientem wymagającym due diligence dostawców. Polska firma usługowa działająca od kilku dekad otrzymała w 2025 r. dziesięciostronicowy kwestionariusz od francuskiego klienta z sektora obronnego. Bez wdrożonego SZDA jedyną drogą byłaby improwizacja: szybkie szkicowanie polityki antykorupcyjnej, hasłowe odpowiedzi „tak/nie” bez dokumentacji potwierdzającej, ryzyko odrzucenia z procesu. Z wdrożonym systemem proporcjonalnym do skali firmy — odpowiedź staje się demonstracją dojrzałości: każde „tak” w ankiecie poparte konkretnym paragrafem księgi SZDA, dokumenty gotowe do załączenia, ślad audytowy widoczny dla weryfikującego.
Wartość strategiczna idzie dalej. Organizacja certyfikowana lub gotowa do certyfikacji zyskuje dostęp do przetargów, w których antykorupcyjna due diligence stała się warunkiem koniecznym — w sektorze obronnym, farmaceutycznym, infrastrukturalnym oraz w zamówieniach publicznych z udziałem środków UE. Operacyjnie SZDA porządkuje obsługę sygnalistów, redukuje ryzyko sporów wewnętrznych oraz tworzy fundament pod szersze wdrożenie compliance management według ISO 37301.
Proces wdrożenia i certyfikacji
Typowy proces wdrożenia ISO 37001:2025 trwa od trzech do dwunastu miesięcy — w zależności od skali i dojrzałości istniejących procesów. Dla MŚP do 50 pracowników realne ramy to 3–4 miesiące przy zaangażowaniu jednej osoby koordynującej; dla średnich organizacji 50–250 osób — 5–7 miesięcy; dla podmiotów dużych z międzynarodową ekspozycją — 9–12 miesięcy z uwagi na konieczność obejmowania filii i sieci kontrahentów.
Wdrożenie przebiega zazwyczaj w pięciu etapach. Pierwszy to analiza kontekstu i ocena ryzyka korupcji — identyfikacja procesów wrażliwych, geografii działania, typów relacji biznesowych. Drugi to projektowanie SZDA: polityka antykorupcyjna, mapa ryzyka, procedury due diligence kontrahentów, polityka prezentów i zaproszeń, kanał zgłoszeń sygnalistów. Trzeci to wdrożenie operacyjne — szkolenia personelu, klauzule antykorupcyjne w umowach, uruchomienie kanału. Czwarty etap to audyt wewnętrzny i przegląd zarządczy — obowiązkowe elementy oceny skuteczności systemu. Piąty, opcjonalny, to certyfikacja zewnętrzna przez akredytowaną jednostkę certyfikującą, prowadzona w dwóch fazach: przegląd dokumentacji (stage 1) i audyt na miejscu (stage 2).
Sama certyfikacja nie jest jedynym celem, ale jest jak matura. Wiele organizacji wdraża SZDA bez certyfikacji — wystarczająco, by udzielać udokumentowanych odpowiedzi na kwestionariusze due diligence klientów, ale czy to wystarcza dla klienta. Równie dobrze może na taką ankietę odpowiedzieć prawnik. Certyfikacja staje się przewagą tam, gdzie klient wprost jej wymaga, oraz w sektorach o najwyższych standardach compliance. W krajach rozwiniętych brak certyfikacji akredytowanej, jest trudne do zrozumienia, bo oni traktują to jako normę zwyczajową. Certyfikacja nieakredytowana w tym obszarze może być traktowana jako fake, i o tym już kiedyś pisaliśmy na bazie przykładu polskich firm. Można znaleźć ten artykuł na naszym blogu.
Podsumowanie
ISO 37001:2025 nie jest dokumentem dla audytorów — jest tarczą biznesową dla organizacji w łańcuchach dostaw, gdzie due diligence przestaje być wyjątkiem. Nowa dyrektywa UE o zwalczaniu korupcji przyspiesza tę zmianę. Pytanie nie brzmi już, czy warto wdrożyć SZDA, lecz kiedy go uruchomić — przed wpłynięciem pierwszego kwestionariusza, czy w panice po nim.
Bibliografia:
- ISO 37001:2025. Anti-bribery management systems — Requirements with guidance for use. International Organization for Standardization, luty 2025. [ISO.org]
- Dyrektywa Parlamentu Europejskiego i Rady (UE) w sprawie zwalczania korupcji, przyjęta przez Radę 21 kwietnia 2026 r. [Rada UE]
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii. [EUR-Lex]
- Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928). [ISAP]
FAQ: Ankieta due diligence z Zachodu
Czym jest ISO 37001:2025 i co zmieniła druga edycja?
ISO 37001:2025 to druga edycja międzynarodowej normy systemów zarządzania działaniami antykorupcyjnymi (SZDA), opublikowana w lutym 2025 r. Zachowała strukturę High Level Structure poprzedniej edycji, ale wzmocniła zasadę proporcjonalności (§A.8), rozszerzyła wymagania due diligence kontrahentów (§8.2 i Załącznik A.10) oraz ułatwiła integrację z normami ISO 9001 i ISO 37301.
Czy ISO 37001 jest dla małych firm?
Tak. Druga edycja jasno dopuszcza wdrożenie proporcjonalne do skali, charakteru i ryzyka organizacji. Mała firma usługowa nie potrzebuje komitetu etyki ani działu compliance — wystarczy polityka antykorupcyjna, pełnomocnik, mapa ryzyka, kanał sygnalistów oraz klauzule antykorupcyjne w umowach. System minimalny można uruchomić w 3-4 miesiące.
Ile trwa wdrożenie ISO 37001:2025?
Dla MŚP do 50 pracowników typowo 3-4 miesiące, dla średnich organizacji 50-250 osób 5-7 miesięcy, dla dużych podmiotów z międzynarodową ekspozycją 9-12 miesięcy. Czas wdrożenia zależy od dojrzałości istniejących procesów, geografii działania i zakresu systemu.
Czy ISO 37001 jest obowiązkowa?
Norma sama w sobie nie jest obowiązkowa prawnie. Jest jednak coraz częściej wymagana de facto w łańcuchach dostaw — duzi klienci z UE weryfikują dostawców pod kątem dojrzałości antykorupcyjnej, szczególnie w sektorach obronnym, farmaceutycznym i infrastrukturalnym. Nowa dyrektywa UE z 21 kwietnia 2026 r. wzmacnia tę presję.
Jak ISO 37001 pomaga odpowiedzieć na ankietę due diligence od klienta?
Wdrożony SZDA daje organizacji udokumentowane odpowiedzi na pytania typowego kwestionariusza due diligence — politykę antykorupcyjną, procedurę zgłoszeń sygnalistów, mapę ryzyka, klauzule w umowach. Każde „tak" w ankiecie poparte konkretnym paragrafem księgi SZDA, dokumenty gotowe do załączenia. Bez wdrożonego systemu organizacja improwizuje — z systemem demonstruje dojrzałość.
Ekspert w zakresie systemów zarządzania ISO, MSUES, RODO, Compliance. Audytor, konsultant, trener.