Сертификация ИСО 37001 (ISO 37001) — система противодействия взяточничеству
Стандарт ИСО 37001 (ISO 37001:2016) — международный стандарт системы менеджмента противодействия взяточничеству (СМПВ, англ. Anti-Bribery Management System — ABMS). Разработан Международной организацией по стандартизации (ISO) и вступил в силу в октябре 2016 года. Российский национальный аналог — ГОСТ Р ИСО 37001-2020, введён в действие с 1 марта 2021 года.
Стандарт определяет требования к системе, позволяющей организации предотвращать, обнаруживать и устранять коррупционные риски, в том числе связанные с дачей и получением взяток. Важное уточнение: ИСО 37001 (ISO 37001) не гарантирует полного отсутствия коррупции — он создаёт систему управления, которая значительно снижает риски и демонстрирует готовность организации противодействовать взяточничеству.
Область применения охватывает любые организации независимо от размера, отрасли и формы собственности: частные компании, государственные структуры, НКО, международные холдинги. Особенно востребован сертификат ИСО 37001 у компаний, участвующих в государственных тендерах, работающих с иностранными партнёрами, входящих в международные холдинги с требованиями комплаенс, а также у банков и финансовых организаций под регуляторным давлением.
В России сертификация по ИСО 37001 (ISO 37001) набирает популярность начиная с 2020–2021 годов на фоне ужесточения антикоррупционного законодательства: поправки к 273-ФЗ («О противодействии коррупции»), требования к комплаенс-системам в рамках публичных закупок и возросшее внимание ЦБ РФ к антикоррупционным политикам в финансовом секторе.
Требования ИСО 37001 (ISO 37001): ключевые элементы стандарта
Стандарт построен на структуре High Level Structure (HLS), общей для всех современных стандартов ISO (ISO 9001, ISO 14001, ISO 27001), что упрощает интеграцию СМПВ с уже действующими системами менеджмента.
Контекст организации и оценка рисков (раздел 4). Организация обязана определить внутренний и внешний контекст, выявить заинтересованные стороны, установить область применения СМПВ. Ключевой элемент — оценка рисков взяточничества: анализ вероятности и последствий коррупционных инцидентов применительно к конкретным должностям, процессам, партнёрам и юрисдикциям.
Лидерство и приверженность (раздел 5). Высшее руководство должно лично демонстрировать приверженность принципам противодействия взяточничеству. Требуется назначение должностного лица по вопросам соответствия (комплаенс-офицера или функционального эквивалента) — независимого от операционного менеджмента. Совет директоров (или аналогичный орган) несёт ответственность за надзор над СМПВ.
Планирование: политики и процедуры (раздел 6). Обязательные документы включают: антикоррупционную политику организации; процедуры должной осмотрительности (Due Diligence) в отношении деловых партнёров, персонала, агентов и посредников; процедуры управления деловыми подарками, угощениями и представительскими расходами; процедуры управления пожертвованиями и спонсорством; порядок проверки новых сотрудников на антикоррупционную пригодность.
Финансовый контроль (раздел 8.7). Стандарт требует наличия финансовых контролей, специально направленных на снижение риска взяточничества: контроль расходов на представительство, отдельная авторизация платежей агентам и посредникам, анализ транзакций с аффилированными структурами.
Каналы информирования (раздел 8.9). Организация обязана создать защищённые анонимные каналы для сообщений о нарушениях (whistleblowing), обеспечить защиту информаторов от преследования и реализовать механизм рассмотрения поступивших сообщений.
Этапы получения сертификата ИСО 37001 (ISO 37001)
- Диагностический аудит (GAP-анализ). Консультант или внутренняя команда сопоставляет текущее состояние антикоррупционных мер с требованиями стандарта ИСО 37001. Итог — перечень несоответствий с оценкой трудоёмкости их устранения. Длительность: 1–3 недели.
- Разработка документации СМПВ. Создаётся пакет обязательных документов: антикоррупционная политика, политика подарков, процедуры Due Diligence, матрица рисков взяточничества, должностная инструкция комплаенс-офицера. Длительность: 4–8 недель в зависимости от размера организации.
- Внедрение системы. Обучение персонала (особенно сотрудников, находящихся в зоне повышенного риска: закупки, продажи, юридический отдел, финансы), настройка финансовых контролей, запуск каналов информирования. Длительность: 2–4 месяца.
- Внутренний аудит СМПВ. Проверка всех требований стандарта силами обученных внутренних аудиторов. Фиксация несоответствий и разработка корректирующих действий (КД). Длительность: 1–2 недели.
- Анализ со стороны руководства. Высшее руководство рассматривает результаты внутренних аудитов, ключевые показатели СМПВ, актуальность антикоррупционной политики. Оформляется протокол.
- Stage 1 — документарный аудит. Орган по сертификации анализирует документацию СМПВ, оценивает готовность к Stage 2. Длительность: 1–2 дня.
- Stage 2 — сертификационный аудит. Выезд аудитора на площадку, проверка реального функционирования СМПВ: интервью с сотрудниками из зон риска, проверка финансовых контролей, анализ case-файлов. Длительность: 1,5–4 дня. При успешном прохождении — выдача сертификата ИСО 37001 сроком на 3 года.
Стоимость и сроки сертификации ИСО 37001
Стоимость сертификации ИСО 37001 (ISO 37001) существенно варьируется в зависимости от размера организации, её структуры и выбранного органа по сертификации.
| Размер организации | Подготовка + консалтинг | Stage 1 | Stage 2 | Надзорный аудит (год) | Итого за 3 года |
|---|---|---|---|---|---|
| до 50 сотрудников | 150 000 – 250 000 ₽ | 30 000 – 50 000 ₽ | 80 000 – 130 000 ₽ | 40 000 – 70 000 ₽ | от 380 000 ₽ |
| 51–200 сотрудников | 250 000 – 450 000 ₽ | 40 000 – 70 000 ₽ | 120 000 – 200 000 ₽ | 60 000 – 100 000 ₽ | от 590 000 ₽ |
| 201–1000 сотрудников | 450 000 – 900 000 ₽ | 60 000 – 100 000 ₽ | 180 000 – 350 000 ₽ | 90 000 – 160 000 ₽ | от 960 000 ₽ |
| свыше 1000 сотрудников | от 900 000 ₽ | от 100 000 ₽ | от 350 000 ₽ | от 160 000 ₽ | договорная |
На стоимость сертификации влияют: количество площадок (каждая дополнительная площадка увеличивает время аудита), наличие уже действующих систем менеджмента (если есть ISO 9001 или ISO 27001, часть документации уже создана), сложность бизнес-процессов и количество контрагентов, требующих проверки Due Diligence.
Общий срок от старта проекта до получения сертификата: 4–9 месяцев. При наличии готовой базы (антикоррупционная политика, финансовые контроли) срок сокращается до 3–5 месяцев.
ИСО 37001 и смежные стандарты: ключевые отличия
| Критерий | ИСО 37001 (ISO 37001) | ИСО 37301 (ISO 37301) | ИСО 19600 (ISO 19600) |
|---|---|---|---|
| Предмет | Противодействие взяточничеству (узкая специализация) | Комплаенс в широком смысле (все виды нарушений) | Руководство по комплаенс (не сертификационный) |
| Сертификация | Да (ISO 17021) | Да (ISO 17021) | Нет (только guidance) |
| Международное признание | Высокое | Растущее | Используется как база |
| Требования к оргструктуре | Комплаенс-офицер обязателен | Комплаенс-функция обязательна | Рекомендации |
| Применение в госзакупках РФ | Да (ГОСТ Р ИСО 37001-2020) | ГОСТ разрабатывается | Нет |
Преимущества сертификата ИСО 37001 (ISO 37001) для бизнеса
- Доступ к государственным тендерам. Ряд заказчиков (Росатом, Роснефть, банки с госучастием, федеральные ведомства) требует наличия антикоррупционной системы или рассматривают её наличие как квалификационный преимуществ при оценке заявок.
- Защита при уголовном преследовании. В ряде юрисдикций (UK Bribery Act, US FCPA) наличие сертифицированной ABMS является доказательством «надлежащих процедур» и может служить основанием для освобождения от корпоративной ответственности при инцидентах.
- Снижение страховых рисков и ставок. Страховщики D&O-полисов (Directors and Officers Liability) учитывают наличие антикоррупционной системы при расчёте премий.
- Требование иностранных партнёров. Зарубежные компании при выборе российских партнёров нередко запрашивают подтверждение антикоррупционного комплаенс — особенно для совместных предприятий и агентских соглашений.
- Снижение внутренних потерь. Компании, внедрившие СМПВ, фиксируют снижение потерь от коммерческого подкупа, злоупотреблений при закупках, «откатных» схем в продажах.
- ESG-рейтинги. Наличие антикоррупционного сертификата улучшает показатели по блоку «G» (Governance) в ESG-оценках, что важно для компаний, привлекающих инвестиции или выходящих на IPO.
Кому нужна сертификация ИСО 37001: обязательно vs добровольно
Де-факто обязательна (требование заказчика или регулятора):
- Поставщики госкорпораций с антикоррупционными требованиями в тендерной документации
- Дочерние компании иностранных холдингов, где головная структура требует ABMS
- Банки и финансовые организации под антикоррупционными рекомендациями ЦБ РФ
- Компании, работающие на рынках с высоким Country Risk Index (строительство, добыча, фармацевтика)
Добровольна, но стратегически важна:
- Средний и малый бизнес, стремящийся к международным партнёрствам
- Компании, готовящиеся к выходу на IPO или привлечению внешних инвестиций
- Организации, входящие в ассоциации с антикоррупционными кодексами (Global Compact, РСПП)
Часто задаваемые вопросы об ИСО 37001
Что такое ИСО 37001 и чем он отличается от других антикоррупционных норм?
ИСО 37001 (ISO 37001:2016) — это международный стандарт системы менеджмента противодействия взяточничеству. В отличие от законодательных норм (273-ФЗ, UK Bribery Act, FCPA), он не устанавливает запреты сам по себе, а описывает, как организовать систему управления для предотвращения нарушений. Принципиальное отличие от корпоративных антикоррупционных политик — стандарт предполагает независимую проверку и сертификацию, что обеспечивает доверие внешних сторон. Наличие сертификата — объективное доказательство, а не самодекларация.
Обязателен ли ИСО 37001 в России?
Прямой законодательной обязанности получать сертификат ИСО 37001 (ISO 37001) в России нет. Однако ГОСТ Р ИСО 37001-2020 является национальным стандартом и может применяться при оценке антикоррупционных систем в рамках государственного регулирования. Ряд госкорпораций и крупных частных компаний включают требование о наличии сертифицированной антикоррупционной системы в квалификационные условия для поставщиков. Таким образом, обязательность носит практический, а не юридически прямой характер.
Какой срок действия сертификата ИСО 37001?
Сертификат ИСО 37001 (ISO 37001) действует 3 года. В течение первого и второго года проводятся надзорные аудиты (Surveillance Audits) — проверка непрерывного функционирования СМПВ. По истечении 3 лет — ресертификационный аудит. Если надзорный аудит не пройден в установленный срок, сертификат приостанавливается. Срок ресертификации следует планировать заблаговременно — не позднее чем за 3–4 месяца до окончания срока действия.
Можно ли совместить ИСО 37001 с другими системами менеджмента?
Да, ИСО 37001 (ISO 37001) спроектирован на основе High Level Structure и легко интегрируется с ИСО 9001, ИСО 27001 и ИСО 14001. На практике интеграция снижает общие затраты на ведение документации, внутренние аудиты и подготовку к сертификации: ряд разделов (контекст организации, лидерство, анализ рисков, внутренние аудиты, анализ со стороны руководства) могут быть объединены. Органы по сертификации предлагают комбинированные аудиты с фиксированной скидкой при сертификации по нескольким стандартам одновременно.
Что будет, если аудитор обнаружит несоответствие?
Если на аудите обнаружено значительное несоответствие (Major) — сертификат не выдаётся до его устранения, организации даётся до 90 дней. Незначительное несоответствие (Minor) не блокирует сертификат — требуется план корректирующих действий, который проверяется на первом надзорном аудите. Наблюдения (Observations) — рекомендации, не влияющие на решение. В специфике ИСО 37001 наиболее частые major-несоответствия: отсутствие реальных финансовых контролей против взяточничества, формальный (ненаполненный) риск-реестр, неработающий канал информирования (только на бумаге).
Признаётся ли российский сертификат ИСО 37001 за рубежом?
Признание зависит от органа по сертификации: сертификаты органов, аккредитованных в системах IAF MLA (International Accreditation Forum Multilateral Recognition Arrangement), признаются в большинстве стран мира. Органы, аккредитованные только в Росаккредитации без участия в IAF MLA, могут не приниматься иностранными партнёрами. При выборе органа по сертификации уточняйте его международный статус аккредитации — это ключевой вопрос для компаний, ориентированных на международный рынок.
Нужен ли комплаенс-офицер для внедрения ИСО 37001?
Стандарт ИСО 37001 требует назначения должностного лица по соответствию (compliance function) с достаточными полномочиями и независимостью для контроля над СМПВ. В малых компаниях это может быть совмещённая роль (например, юрист + комплаенс). В крупных организациях аудиторы ожидают выделенную функцию с прямым подчинением совету директоров или высшему руководству — независимость от операционного менеджмента является принципиальным требованием, нарушение которого приводит к major-несоответствию.
Получить сертификат ИСО 37001 (ISO 37001)
Наша компания специализируется на подготовке к сертификации по ИСО 37001 (ISO 37001) и ГОСТ Р ИСО 37001-2020. Мы проведём диагностический аудит, разработаем полный пакет документации СМПВ, обучим персонал и сопроводим на всех этапах — от GAP-анализа до получения сертификата. Среди наших клиентов — поставщики госкорпораций, банки, строительные и IT-компании, прошедшие сертификацию в аккредитованных органах с международным признанием.
Запишитесь на бесплатную предварительную консультацию: наш эксперт оценит текущее состояние вашей антикоррупционной системы и назовёт реальные сроки и стоимость подготовки к сертификации.