Skip to content 
Razem czy osobno – oszustwa i korupcja w analizie ryzyka wg ISO 37001
Dwa tygodnie temu na Linkedin’ie Dariusz Rycek, nasz CEO inspirowany lekturą podrzuconego mu przez mnie artykułu, opublikował krótki anons o Mirandzie Patrucic (dalej MP), okładkowej postaci z 3-go numeru magazynu Fraud, który stanowił zapowiedź niniejszego artykułu. Miranda w wywiadzie „Tracking Truth” (Śledząc prawdę) autorstwa Paul’a Kilby’ego przedstawia swoją pracę dziennikarza śledczego, który tropi korupcję na szczeblach władzy w różnych częściach świata – od Europy, aż po Azję. Warto przypomnieć, że Miranda jest także członkiem Organized Crime and Corruption Reporting Project (OCCRP) – globalnej sieci dziennikarzy śledczych skupionych na przestępczości zorganizowanej i korupcji. To organizacja, która działa ponad wszelkimi podziałami politycznymi, światopoglądowymi dla dobra ogółu. MP podkreśla w rozmowie jak bardzo ważna jest współpraca, która była kluczem do historii o Kirgistanie, i jest tematem, który przewija się przez całą historię jej reportażu. Podobnie jak w przypadku działań antyfraudowych, wymiana informacji wewnątrz i pomiędzy organizacjami często zdarza się zbyt rzadko, zwłaszcza w świecie mediów, w którym panuje silna konkurencja, ale także korupcja. A to co chciałabym wykorzystać w niniejszym artykule to pokazanie w artykule mechanizmu połączenia oszustwa i korupcji, ponieważ dość często w ryzykach korupcji w systemach zarządzania opartych o normę ISO 37001 pomija się ten temat, co stanowi słabość definiowania schematów korupcyjnych ujętych w analizie korupcji.
Oszustwo a korupcja – trochę definicji aby lepiej zrozumieć konotacje z ISO 37001
Dwa terminy, które często są używane zamiennie, chociaż w rzeczywistości są różne. Oszustwo to rodzaj nieuczciwej działalności, której celem jest oszukanie kogoś (tak osobę fizyczną, jak i organizację), natomiast korupcja to nadużycie władzy dla osobistych korzyści. Oszustwo to działanie polegające na celowym wprowadzeniu kogoś w błąd w celu uzyskania nieuczciwej przewagi lub wyrządzenia mu szkody. Może ono przybierać różne formy, w tym oszustwa finansowego, kradzieży tożsamości i oszustwa internetowego. Obejmuje ono przeinaczanie faktów, kłamanie lub ukrywanie ważnych informacji w celu manipulowania osobą lub sytuacją. Ale może mieć też charakter gospodarczy i wtedy znane ono jest jako defraudacja, sprzeniewierzenie. W głównej mierze polega ona na przywłaszczeniu sobie mienia powierzonego celem osiągnięcia osobistych korzyści majątkowych. Z drugiej strony, korupcja odnosi się do nadużywania władzy dla osobistych korzyści. Polega na wykorzystaniu wpływu, pozycji lub władzy w celu uzyskania korzyści, takich jak zysk finansowy lub preferencyjne traktowanie. Korupcja może występować zarówno w sektorze publicznym, jak i prywatnym, i może przybierać wiele form, w tym łapówkarstwo, nepotyzm i defraudację. Chociaż w normowej definicji ryzyka ujętej w ISO 37001 nie ma odniesienia do oszustwa, to dojrzałe organizacje, które mają wdrożone ryzyko compliance w schematach korupcyjnych nie zapominają o tej konotacji.
Co łączy oszustwo i korupcję?
Otóż w schematach korupcyjnych, które powinny być podstawą analizy ryzyka wg ISO 37001, pełniąc rolę zagrożeń, oszustwa mogą być wyzwalaczem zachowań korupcyjnych, tak jak właśnie to przedstawiono we wspomnianym artykule. To właśnie za sprawą oszustw pozyskiwano pieniądze do finansowania działań korupcyjnych. Chociaż dotyczyło to działań urzędników państwowych w przedstawionych przypadkach, to sytuacje takie mogą zdarzyć się w biznesie. Jest to z jednej strony działanie na szkodę firmy, a z drugiej finansowanie korupcji. Te sytuacje są dość często podnoszone w analizie ryzyka w krajach wysokorozwiniętych, albowiem z jednej strony jest to patologia organizacyjna, z drugiej zaś jest elementem zgłoszeń sygnalistów w zewnętrznych kanałach zgłoszeń, czy też korporacyjnych, gdy sprawa dotyczy lokalnego oddziału. Dlatego tak ważnym elementem w analizie ryzyka na stanowiskach narażonych na korupcję, jest rozważenie także kwestii ryzyka oszustwa. A tak naprawdę wystarczy połączyć te dwie dysfunkcje organizacyjne w ramach analizy ryzyka aby ten temat dobrze uporządkować.
Przytoczę w ramach podsumowania ostatni akapit ze wspomnianego artykułu. „…Pewne jest jednak to, że wraz z pieniędzmi przychodzi korupcja, a to oznacza, że dziennikarze śledczy, tacy jak MP, oraz osoby zajmujące się badaniem nadużyć finansowych będą musieli mieć stale czujne oko. Jedną z lekcji, jakie wyniosłam …., jest to, jak ważne jest śledzenie przepływu pieniędzy, ponieważ niezależnie od tego, jak dobry jest …….., jak niesamowici są ludzie, korupcja jest integralną częścią ludzkości.”
Być może gdy w ramach komitetu ISO/TC 309 zostanie wydana norma dotycząca ryzyka oszustw, będąca wciąż w fazie zarejestrowanego programu roboczego – „ISO/AWI 37003 Fraud Control Management Systems — Guidance for organizations responding to the risk of fraud” , będzie czas na refleksję i zmianę podejścia w ramach analizy ryzyka. Albo przyjdzie czas na ISO 37301, gdzie ISO 37001 będzie stanowił podsystem a analiza ryzyka będzie wspólna.
Jako audytorka systemów zarządzania społeczno-prawnych postrzegam system zarządzania zgodny ze standardem ISO 37001 jako trygier do budowania lub wzmocnienia etycznej strony kultury organizacyjnej, dla której każdy standard powinien być narzędziem w realizacji tego celu.
Zapraszam do współpracy,
Zespół Centre of Excellence / QSCert
Bibliografia:
1). Fraud, magazyn 3/2023 – VOL.28 | NO. MAY/JUNE, strona 14. Zdjęcie okładkowe: Safet Hadzimusic.