ISO 37001: Antikorrupsjonsstandarden mellomstore selskaper blir bedt om — og hvorfor den er viktig for CFO-er

‍

Risiko for bestikkelser og korrupsjon er ikke et problem kun for store selskaper. Det er et problem for mellomstore selskaper — og de fleste håndterer det ikke på en dokumentert og revisjonsbar måte.

Samtidig blir enterprise-kunder, offentlige innkjøpere og investorer stadig mer oppmerksomme på dette gapet.

ISO 37001 er den internasjonale standarden for antikorrupsjonsstyringssystemer (ABMS). Publisert i 2016 gir den et rammeverk for å vise at virksomheten håndterer korrupsjonsrisiko systematisk. For selskaper med offentlige kontrakter, internasjonale leverandørkjeder eller store kunder blir den nå ofte et krav i anskaffelsesprosesser.

Her er hva finans- og compliance-ledere må forstå.  

Hvorfor mellomstore selskaper blir bedt om ISO 37001 nå

Tre drivere forklarer utviklingen:

Offentlige anskaffelser

Innkjøp i offentlig sektor i Norge og Europa stiller i økende grad krav til antikorrupsjonsstyring.
ISO 37001 — eller tilsvarende dokumenterte kontroller — blir et kvalifikasjonskrav.
Selskaper uten dette blir ekskludert fra konkurranser.

Krav fra enterprise-kunder

Store selskaper har egne forpliktelser under lover som UK Bribery Act og FCPA.
De flytter derfor kravene nedover i leverandørkjeden.

Spørsmål om:

• Antikorrupsjonspolicy  

• Due diligence på tredjeparter  

• Ledelsesoppfølging  

er nå standard. ISO 37001 gir et tydelig svar.

Internasjonal virksomhet

Selskaper som opererer globalt eksponeres for korrupsjonsrisiko og ekstraterritorielle lover:

• UK Bribery Act gjelder selskaper med tilstedeværelse i UK  

• FCPA gjelder selskaper med tilknytning til USA  

ISO 37001 gir dokumentasjon på “tilstrekkelige tiltak” som kan redusere ansvar.

Hva ISO 37001 faktisk er

ISO 37001 er en standard for antikorrupsjonsstyring (ABMS).
Den gir et rammeverk for å:

• Forebygge  

• Avdekke  

• Håndtere korrupsjon  

både internt og hos tredjeparter.

Den dekker tre typer risiko:

• Korrupsjon begått av virksomheten  

• Korrupsjon rettet mot virksomheten  

• Korrupsjon via tredjeparter  

For mellomstore selskaper er tredjepartsrisiko ofte størst — og ligger direkte innenfor CFO-ens ansvarsområde.

Hvorfor dette i praksis er et CFO-ansvar

De mest kritiske kontrollene ligger i finansfunksjonen:

Finansielle kontroller

• Godkjenning av uvanlige betalinger  

• Kontroll av gaver og representasjon  

• Håndtering av provisjoner  

Due diligence av tredjeparter

• Agenter  

• Konsulenter  

• Partnere  

Krever dokumentert vurdering og oppfølging.

Gaver og representasjon

• Policy  

• Register  

• Godkjenningsprosess  

Politiske bidrag og donasjoner

• Høy risiko  

• Krever dokumentert godkjenning  

Styringslaget

Godkjenninger (sign-offs)

• Policy godkjent av styret  

• Risikovurderinger  

• Godkjenning av tredjepart  

• Kontroll av betalinger  

Dokumentasjon (disclosures)

• Rapportering til styret  

• Hendelser  

• Varslingssaker  

Informasjonsforespørsler

• Due diligence-spørreskjemaer  

• Myndighetsforespørsler  

• Revisjonsdokumentasjon  

Juridisk risiko

ISO 37001 er frivillig — lovene den støtter er det ikke.

• Norsk straffelov (§§ 387–389) — bøter og fengsel  

• UK Bribery Act — ubegrensede bøter  

• FCPA — bøter og inndragning  

• OECD-konvensjonen — internasjonalt rammeverk  

Uten dokumentert system: full risiko
Med ISO 37001: forsvarlig posisjon

Hvor lang tid det tar

Hva det koster

• Med automatiseringsverktøy: €8 000–18 000  

• Konsulentmodell: €20 000–60 000  

• Årlig oppfølging: €6 000–12 000  

Antikorrupsjon er en kontinuerlig forpliktelse.

CTA

Vil du ha CFO-sjekklisten, rammeverk for tredjepartsvurdering og implementeringsplan?

Last ned: ISO 37001 for mellomstore selskaper — hva ledelsen må vite →

‍