Wymagania SZRK Wydanie 01 z dn r.

Transkrypt

1 WOJSKOWA AKADEMIA TECHNICZNA WYDZIAŁ LOGISTYKI Wymagania SZRK Wydanie 01 z dn r. SYSTEM ZAPOBIEGANIA RYZYKOM KORUPCYJNYM WYMAGANIA

2 Strona 1 z 23

3 SYSTEM ZAPOBIEGANIA RYZYKOM KORUPCYJNYM WYMAGANIA (SZRK) Niniejsze wymagania stanowią zbiór krajowych i międzynarodowych rozwiązań dotyczących zapobiegania korupcji oraz systemów zarządzania, z uwzględnieniem nowej struktury norm ISO, dotyczących systemów zarządzania, określonej w załączniku SL do dyrektywy ISO/IEC z 2012 roku, część I Skonsolidowany suplement ISO Procedury właściwe dla ISO.. Struktura niniejszych wymagań umożliwia integrację Systemu Zapobiegania Ryzykom Korupcyjnym z funkcjonującymi w organizacjach systemami zarządzania oraz spełnienie wymagań standardów odpowiedzialności społecznej w zakresie zapobiegania korupcji. Wymagania Systemu Zapobiegania Ryzykom Korupcyjnym zostały opracowane z uwzględnieniem zapobiegania mechanizmom korupcjogennym włączonych do Rządowego Programu Przeciwdziałania Korupcji na lata Centrum Certyfikacji Jakości WAT zapewnia ciągłe doskonalenie niniejszych wymagań pod względem zmian w rozwiązaniach krajowych i międzynarodowych. Wszystkie zainteresowane organizacje zachęcamy do współpracy i wzięcia aktywnego udziału w procesie rozwoju niniejszych wymagań Zatwierdził: dr hab. Julian MAJ profesor WAT Dziekan Wydziału Logistyki Wojskowej Akademii Technicznej Strona 2 z 23

4 Strona 3 z 23

5 Spis treści. 0 Wprowadzenie Zakres wymagań. 7 2 Powołania normatywne Terminy i definicje Kontekst działania organizacji Zrozumienie organizacji i jej kontekstu Zrozumienie wymagań i oczekiwań zainteresowanych stron Postanowienia ogólne Wymagania prawne i nadzorcze Określenie systemu zapobiegania ryzykom korupcyjnym Postanowienia ogólne Zakres systemu zapobiegania ryzykom korupcyjnym System zapobiegania ryzykom korupcyjnym Przywództwo Przywództwo i zaangażowanie Zaangażowanie kierownictwa Polityka antykorupcyjna Role, odpowiedzialność i uprawnienia w organizacji Planowanie Uwzględnienie ryzyka w procesie planowania Cele w zakresie zapobiegania korupcji i plany ich realizacji Wsparcie Zasoby Kompetencje Świadomość Komunikacja Udokumentowane informacje Postanowienia ogólne Przygotowanie i aktualizacja Nadzór nad udokumentowaną informacją 16 8 Funkcjonowanie Planowanie i nadzór operacyjny Ocena ryzyka korupcyjnego Postępowanie z ryzykiem korupcyjnym Strategia antykorupcyjna Ustalenie i wybór strategii antykorupcyjnej Ustanowienie wymagań dotyczących zasobów Ocena skuteczności Monitorowanie, pomiar, analiza i ocena Audit wewnętrzny Przegląd zarządzania Doskonalenie Niezgodności i działania korygujące Ciągłe doskonalenie Bibliografia.. 23 Strona 4 z 23

6 0. Wprowadzenie Niniejsze wymagania zostały opracowane w celu skutecznego wdrożenia Systemu Zapobiegania Ryzykom Korupcyjnym (SZRK) w organizacjach, niezależnie od charakteru i specyfiki ich działalności. SZRK stanowi ważny element systemu zarządzania organizacji. Istotnym elementem SZRK jest identyfikacja ryzyka związanego z występowaniem rzeczywistych i potencjalnych zagrożeń korupcyjnych. Podstawą do skutecznego wdrożenia SZRK jest ocena i analiza ryzyka związanego z zagrożeniami korupcyjnymi oraz określenie działań zmierzających do ograniczenia tego ryzyka. Gwarancją skuteczności SZRK jest określenie procesów i działań, z którymi mogą się wiązać zagrożenia korupcyjne, które w konsekwencji mogą narazić organizację, jej pracowników, właścicieli, kontrahentów i kooperantów na odpowiedzialność karną oraz utratę reputacji. Zagrożenia korupcyjne mogą wynikać z umyślnych lub nieumyślnych błędów w postępowaniu pracowników. Z postępowaniem pracowników wiąże się największe ryzyko. Wdrożenie SZRK daje organizacji wiele korzyści, do których zaliczyć należy między innymi: budowanie wizerunku organizacji, której zależy na zapobieganiu zjawiskom korupcyjnym oraz mogącym prowadzić do korupcji, ochrona pracowników przed ryzykiem związanym z korupcją, w tym odpowiedzialnością karną, identyfikacja sytuacji zewnętrznych i wynikających z uwarunkowań wewnętrznych, które mogą prowadzić do zagrożeń związanych z korupcją, określenie systemowego podejścia do zarządzania ryzykiem związanym z zagrożeniami korupcyjnymi, doskonalenie organizacji z wykorzystaniem różnych narzędzi i doświadczeń w zakresie radzenia sobie z zagrożeniami korupcyjnymi, określenie sposobów postępowania w przypadku wykrycia przypadków korupcji. SZRK można zintegrować z już istniejącym innym systemem zarządzania tak, aby tworzył on jednolity system łatwiejszy do nadzorowania, z wykorzystaniem już istniejących narzędzi, takich jak: audity wewnętrzne, przeglądy zarządzania, działania korekcyjne i korygujące. Dla skutecznego wdrożenia SZRK niezbędne są następujące działania: przeanalizowanie procesów decyzyjnych i organizacyjnych pod kątem sytuacji, które mogą stanowić przyczynę wystąpienia ryzyka praktyk korupcyjnych, zidentyfikowanie zagrożeń związanych z pracownikami, np. wynikających z kontaktów z instytucjami administracji publicznej, podejmowania decyzji inwestycyjnych, wydawania decyzji administracyjnych, podejmowania decyzji zakupowych oraz wynikających z powiązań rodzinnych, biznesowych lub towarzyskich, wdrożenie mechanizmów organizacyjnych chroniących pracowników i organizację przed korupcją. Niniejsze wymagania SZRK zostały opracowane w celu systemowego podejścia do zagadnień związanych z zapobieganiem ryzykom korupcyjnym. Ich właściwe stosowanie pozwala organizacji redukować koszty finansowe, wizerunkowe i społeczne wynikające ze zjawiska korupcji. Strona 5 z 23

7 Stosowanie niniejszych wymagań nie może być wykorzystywane przez organizację jako dowód potwierdzający, że zjawiska korupcji w niej nie występują, gdyż celem systemu jest wdrożenie takich mechanizmów, które będą zmniejszały podatność organizacji na zagrożenia korupcyjne. SZRK pozwala organizacji w sposób świadomy zarządzać procesami i aspektami swojej działalności w taki sposób, aby unikać stosowania rozwiązań, działań i decyzji sprzyjających korupcji. Niniejsze wymagania posiadają strukturę zgodna z załącznikiem SL do dyrektyw ISO/IEC 2012, część I Skonsolidowany suplement ISO Procedury właściwe dla ISO. w celu łatwiejszej ich integracji z innymi systemami zarządzania. Zachęca się, aby przy wyborze metod postępowania z ryzykiem korupcyjnym rozważono stosowanie następujących działań pozwalających stworzyć warunki ograniczające występowaniu zjawisk korupcyjnych: powołanie zespołu ds. etyki postępowania, stosowanie zasady dwóch par oczu, określenie jasnych procesów rekrutacji opartych o wymagania kompetencyjne, ustanowienie mechanizmów zgłaszania przez pracowników faktu wykonywania dodatkowej pracy dla innych organizacji oraz formalnego procesu rejestrowania takich przypadków, w celu zapobiegania konfliktom interesów i przekazywaniu informacji stanowiących tajemnicę przedsiębiorstwa, udział obserwatorów w komisjach przetargowych i zespołach decydujących o wyborze dostawców oraz inwestorów, stosowanie dodatkowych mechanizmów weryfikacji i wyboru trybu, w którym dokonywane są procesy zakupowe oraz niezależnego przeglądu prawidłowości, zgodności z prawem i zasadności wyboru trybu dokonywania zakupów, opracowanie czytelnych zasad kontaktowania się pracowników z kontrahentami (np. klientami, dostawcami) oraz urzędnikami, od których zależy uzyskiwanie decyzji biznesowych i/lub administracyjnych (np. formalne upoważnienie pracowników do takich kontaktów, określenie ograniczeń dotyczących miejsc, w których wolno się spotykać, określenie, które ze spotkań powinny się odbywać w towarzystwie świadków, ustanowienie zasad dotyczących dokumentowania takich kontaktów, określenie zasad udzielania i korzystania z pełnomocnictw oraz upoważnień itp.), określenie wymagań dotyczących ochrony informacji (w tym tajemnicy przedsiębiorstwa), których pozyskiwanie może się wiązać z propozycjami korupcyjnymi, określenie zasad dotyczących finansowania/sponsorowania polityków, organizacji społecznych i innych, ustanowienie zasad dotyczących przyjmowania i wręczania prezentów, upominków, materiałów reklamowych, a także prowadzenia kampanii promocyjnych i reklamowych, rozdzielenie uprawnień decyzyjnych w procesach zagrożonych korupcją, prowadzenie postępowań sprawdzających wobec pracowników i stron trzecich biorących udział w realizacji procesów, w których stwierdzono nieakceptowane ryzyko korupcyjne, określenie zasad bezstronności w postępowaniach zakupowych, związanych z rekrutacją oraz realizacją innych procesów zagrożonych korupcją. Strona 6 z 23

8 Wymienione powyżej działania zapobiegające występowaniu zjawisk korupcyjnych powinny być dostosowane do specyfiki i charakteru działalności organizacji oraz jej potrzeb wewnętrznych, a także wymagań otoczenia. W ramach SZRK organizacja powinna zidentyfikować wymagania prawne i inne właściwe dla otoczenia w którym działa oraz stosować się do tych wymagań. Należy, w szczególności zidentyfikować wymagania prawne i inne dotyczące przestępstw korupcyjnych oraz odpowiedzialności karnej, cywilnej i służbowej związanych z korupcją, a także wymagania interesariuszy, związane z praktykami antykorupcyjnymi, które organizacja powinna stosować. Przez wymagania prawne otoczenia, w którym działa organizacja należy rozumieć wymagania aktów normatywnych obowiązujące w krajach, w których organizacja prowadzi swoją działalność oraz wymagania prawa lokalnego obowiązującego w poszczególnych częściach tych krajów. 1. Zakres wymagań SZRK określa wymagania związane z planowaniem, ustanowieniem, wdrożeniem, funkcjonowaniem, monitorowaniem, dokonywaniem przeglądów, utrzymywaniem i ciągłym doskonaleniem systemu zarządzania, którego celem jest ochrona organizacji przed zagrożeniami korupcyjnymi, poprzez zmniejszenie ich prawdopodobieństwa i/lub skutków, przygotowanie organizacji do postępowania z tymi zagrożeniami i reagowania na nie. Wymagania SZRK mają charakter ogólny i przeznaczone są do stosowania we wszystkich organizacjach lub ich częściach, niezależnie od ich charakteru, typu i wielkości. Niniejsze wymagania zostały opracowane w celu ułatwienia organizacjom zaprojektowania systemu, który będzie odpowiadał ich potrzebom i spełniał wymagania stron zainteresowanych, wynikających z wymagań prawnych, nadzorczych, organizacyjnych i innych, które organizacja jest w stanie zidentyfikować. Niniejsze wymagania mogą być wykorzystane w celu: oceny zdolności organizacji do spełnienia jej własnych zobowiązań w zakresie zapobiegania korupcji, certyfikacji Systemu Zapobiegania Ryzykom Korupcyjnym. Organizacje, chcące wdrożyć i stosować standardy społecznej odpowiedzialności mogą stosować wymagania SZRK w celu wykazania, że zapobiegają zjawiskom korupcji, a tym samym stosują się do wymagań określonych w następujących standardach społecznej odpowiedzialności: ISO 26000:2010 (PN-ISO 26000:2012) Wytyczne dotyczące społecznej odpowiedzialności. IQNet SR10: Systemy zarządzania społecznej odpowiedzialności. Wymagania pkt Współpraca i przejrzystość oraz Uczciwość. 2. Powołania normatywne W przypadku powołań datowanych ma zastosowanie wyłącznie wydanie cytowane. W przypadku powołań niedatowanych stosuje się ostatnie wydanie dokumentu powołanego. 3. Terminy i definicje Korupcja działania polegające na obiecywaniu, proponowaniu, wręczaniu, żądaniu, przyjmowaniu, nienależnych korzyści majątkowych lub osobistych, podejmowane Strona 7 z 23

9 z naruszeniem prawa, w imieniu lub przez osobę zainteresowaną ich uzyskaniem, a także zaniechanie działań lub wykonywania obowiązków służbowych zmierzające do uzyskania takich korzyści. Działania antykorupcyjne działania realizowane w celu zapobiegania zjawiskom korupcji oraz zdarzeniom o charakterze korupcjogennym. Zdarzenie o charakterze korupcjogennym działania, za które prawo nie przewiduje odpowiedzialności karnej, cywilnej lub służbowej, mogące świadczyć o występowaniu korupcji lub prowadzić do korupcji albo stwarzać ryzyko wystąpienia korupcji. Incydent korupcja lub zdarzenie korupcjogenne. Ryzyko wpływ niepewności na cele. UWAGA 1 Wpływ niepewności powoduje odchylenie od oczekiwań. UWAGA 2 Ryzyko jest często określane w odniesieniu do potencjalnych zdarzeń i następstw lub ich kombinacji. UWAGA 3 Ryzyko jest często wyrażone jako kombinacja następstwa zdarzenia (z uwzględnieniem zmian okoliczności) i związanego z nim prawdopodobieństwa jego wystąpienia. UWAGA 4 Niepewność to stan, również częściowy, braku informacji związanej ze zrozumieniem lub wiedzą na temat zdarzenia, jego następstw lub prawdopodobieństwa. Zarządzanie ryzykiem skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka. [ISO Guide 73:2009, definicja 2.1] Ocena ryzyka całościowy proces identyfikacji ryzyka, analizy ryzyka oraz ewaluacji ryzyka. [ISO Guide 73:2009, definicja 3.4.1] Identyfikacja ryzyka proces wyszukiwania, rozpoznawania i opisywania ryzyka. UWAGA 1 Identyfikacja ryzyka obejmuje rozpoznanie źródła ryzyka, zdarzeń, ich przyczyn i potencjalnych następstw. UWAGA 2 Identyfikacja ryzyka może obejmować dane historyczne, analizy teoretyczne, pozyskane opinie, opinie ekspertów oraz potrzeby interesariuszy. [ISO Guide 73:2009, definicja 3.5.1] Zdarzenie wystąpienie lub zmiana konkretnego zestawu okoliczności. UWAGA 1 Zdarzenie może wystąpić jeden raz bądź wielokrotnie i może mieć wiele przyczyn. UWAGA 2 Zdarzenie może dotyczyć czegoś, co nie wystąpiło. UWAGA 3 Zdarzenie może czasem być określane jako incydent" lub wypadek". UWAGA 4 Zdarzenie bez następstw może być również określane jako: niedoszłe zdarzenie", incydent", sytuacja grożąca wypadkiem" lub o mały włos". [ISO Guide 73:2009, definicja ] Analiza ryzyka - proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka. UWAGA 1 Analiza ryzyka stanowi podstawę do ewaluacji ryzyka oraz podejmowania decyzji w zakresie postępowania z ryzykiem. UWAGA 2 Analiza ryzyka zawiera estymację ryzyka [ISO Guide 73:2009, definicja 3.6.1] Strona 8 z 23

10 Ewaluacja ryzyka proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. UWAGA Ewaluacja ryzyka wspomaga podejmowanie decyzji w zakresie postępowania z ryzykiem [ISO Guide 73:2009, definicja 3.7.1] Postępowanie z ryzykiem proces modyfikacji ryzyka. UWAGA 1 Postępowanie z ryzykiem może uwzględniać: - unikanie ryzyka poprzez decyzję o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko, - podjęcie lub zwiększenie ryzyka w celu wykorzystania szansy; - usunięcie źródła ryzyka, - zmianę prawdopodobieństwa, - zmianę następstw, - dzielenie ryzyka wraz z i inna stroną lub stronami (łącznie z umowami i finansowaniem ryzyka ) oraz - retencję ryzyka na podstawie świadomej decyzji. UWAGA 2 Postępowanie z ryzykiem, które dotyczy negatywnych skutków, czasem jest nazywane łagodzeniem ryzyka", minimalizacją ryzyka", eliminacją ryzyka", zapobieganiem ryzyku" i redukcją ryzyka. UWAGA 3 Postępowanie z ryzykiem może doprowadzić do powstania nowego ryzyka lub modyfikacji już istniejących [ISO Guide 73:2009, definicja 3.8.1] Ryzyko rezydualne ryzyko pozostające po zastosowaniu działań określonych w postępowaniu z ryzykiem. UWAGA 1 Ryzyko rezydualne może zawierać ryzyka niezidentyfikowane. UWAGA 2 Ryzyko rezydualne jest również nazywane ryzykiem podlegającym retencji ryzykiem zatrzymanym [ISO Guide 73:2009, definicja ] Najwyższe kierownictwo osoba lub grupa osób, które na najwyższym szczeblu kierują organizacją. Organizacja osoba lub grupa osób posiadająca własne funkcje wraz z odpowiedzialnościami, uprawnieniami i powiązaniami służącymi osiąganiu celów. UWAGA Do pojęcia organizacji zalicza się między innymi przedsiębiorców indywidualnych, spółki, korporacje, firmy, przedsiębiorstwa, organy władzy, partnerstwa, organizacje charytatywne lub instytucje, a także ich części lub kombinacje, niezależnie od tego czy posiadają osobowość prawną i czy mają status publiczny, czy prywatny. Skuteczność stopień, w jakim planowane działania są realizowane i planowane wyniki osiągnięte. Proces zbiór działań wzajemnie powiązanych lub wzajemnie oddziałujących, które przekształcają wejścia w wyjścia. Niezgodność niespełnienie wymagania. Działanie korygujące działanie w celu wyeliminowania przyczyn wykrytej niezgodności i zapobiegania jej ponownemu wystąpieniu. Korekcja działanie w celu wyeliminowania wykrytej niezgodności. Dokument informacja i jej nośnik. Strona 9 z 23

11 Udokumentowana informacja informacja, którą organizacja powinna nadzorować i utrzymywać, oraz nośnik, na którym jest przechowywana. Audit systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu. Program auditów zestaw auditów, jednego lub większej ich liczby, zaplanowanych w określonych ramach czasowych i mających określony cel. 4. Kontekst działania organizacji 4.1 Zrozumienie organizacji i jej kontekstu Organizacja powinna określić zewnętrzne oraz wewnętrzne uwarunkowania związane z prowadzoną działalnością, w tym procesy i działania realizowane przez nią oraz zlecane na zewnątrz. Procesy zachodzące w organizacji oraz procesy zlecane na zewnątrz powinny być określone, tak aby możliwe było przeanalizowanie zagrożeń oraz ryzyka korupcyjnego związanego z ich realizacją. Zakres SZRK powinien być udokumentowany. UWAGA 1 W ramach określania kontekstu organizacja powinna przeanalizować uwarunkowania zewnętrzne i wewnętrzne, w tym min.: procesy realizowane wewnątrz oraz zlecane na zewnątrz, produkty i usługi zarówno dostarczane przez organizację jak również zakupywane, wynikające z łańcucha dostaw dostawcy, wyroby, inwestycje, z którymi może się wiązać ryzyko korupcji, cykl życia produktu/usługi od momentu koncepcji, poprzez projektowanie, rozwój wyrobów i usług, produkcję i dostarczanie usług, aż do zakończenia wytwarzania wyrobu, realizacji usług, zasoby takie jak zasoby ludzkie, infrastruktura, odpowiedzialność, uprawnienia i role, wymagania interesariuszy w tym: klientów, dostawców, udziałowców, organów administracji, itd., oraz uwarunkowania wynikające ze wzajemnych relacji z nimi, w tym wymagania kontraktowe oraz wynikające z porozumień i inne, które nie zostały sformalizowane. kultura a w szczególności kultura organizacyjna i kultura otoczenia, w którym organizacja funkcjonuje, wewnętrzna organizacja w szczególności wewnętrzne zasady, w tym te które zostały udokumentowane, takie jak: polityki, strategie, uchwały, zarządzenia, procedury, instrukcje oraz nieudokumentowane ale przyjęte zwyczajowo lub stosowane obligatoryjnie, otoczenie (sąsiedztwo) w znaczeniu położenia jak również instytucji i osób, które oddziałują na organizację lub na które organizacja oddziałuje, wymagania prawne wymagania prawe dotyczące zapobiegania i zwalczania przestępstw korupcyjnych oraz inne wymagania, które mogą mieć wpływ na organizację, jej procesy oraz wyroby, wymagania kontraktowe w szczególności, wymagania stawiane dostawcom produktów i usług oraz podwykonawcom umieszczane w umowach i porozumieniach, inne wymagania, do których spełnienia organizacja jest zobowiązana. Strona 10 z 23

12 UWAGA 2 dla celów związanych z wdrożeniem SZRK identyfikacja procesów dokonana dla potrzeb innych systemów zarządzania funkcjonujących w organizacji może nie być wystarczająca szczególnie wówczas gdy procesy te są określone w sposób ogólny. Organizacja powinna zidentyfikować grupy zainteresowane jej produktami oraz usługami w celu ustalenia zagrożeń związanych z korupcją i działaniami korupcjogennymi. Organizacja powinna określić i zidentyfikować możliwe skutki prawne, biznesowe, wizerunkowe oraz inne, związane z korupcją oraz przeanalizować, które z procesów i działań realizowanych przez nią bądź zlecanych na zewnątrz mogą powodować ryzyko związane z oferowaniem lub przyjmowaniem nienależnych i niezgodnych z prawem, a także innymi wymaganiami, korzyści osobistych lub majątkowych. Organizacja powinna przekazywać pracownikom i stronom trzecim pracującym dla organizacji lub w jej imieniu informacje o sankcjach związanych z naruszeniem wymagań SZRK oraz wymagań prawnych i innych. 4.2 Zrozumienie wymagań i oczekiwań zainteresowanych stron Postanowienia ogólne Przy ustanawianiu SZRK organizacja powinna wziąć pod uwagę wymagania i oczekiwania zainteresowanych stron, niezależnie od tego czy zostały one oficjalnie wyrażone lub zasugerowane Wymagania prawne i inne Organizacja powinna ustanowić, wdrożyć i utrzymywać udokumentowane informacje określające wymagania w zakresie: pozyskiwania, rejestrowania, aktualizacji wymagań prawnych i innych odnoszących się do zjawisk korupcyjnych. Organizacja powinna zapewnić, że stosuje wymagania prawne i inne oraz bierze je pod uwagę przy ustanawianiu, wdrażaniu, utrzymywaniu i doskonaleniu SZRK. Organizacja powinna na bieżąco aktualizować udokumentowane informacje o dotyczących ją wymaganiach prawnych i innych oraz przekazywać informacje o tych wymaganiach pracownikom i stronom zainteresowanym, w tym stronom trzecim działającym w imieniu lub na zlecenie organizacji. 4.3 Określenie zakresu zapobiegania ryzykom korupcyjnym Postanowienia ogólne Organizacja powinna określić zakres stosowania SZRK poprzez wskazanie procesów lub części organizacji (komórek / jednostek organizacyjnych), w których system ma zastosowanie. Informacja o zakresie SZRK powinna być udokumentowana. Określenie zakresu stosowania SZRK powinno być poprzedzone oceną ryzyka obejmującą całą organizację, w tym wszystkie procesy i kluczowe działania. Nie dopuszcza się wyłączania z zakresu SZRK tych procesów i działań, z którymi związane są nieakceptowalne ryzyka korupcyjne Zakres systemu zapobiegania ryzykom korupcyjnym Organizacja powinna: a) ustalić, które procesy i działania lub części organizacji (komórki / jednostki organizacyjne) będą wchodziły w zakres SZRK, Strona 11 z 23

13 b) określić wymagania SZRK, biorąc pod uwagę politykę antykorupcyjną organizacji, zasady postępowania etycznego, strategię oraz jej cele wewnętrzne i zewnętrzne, a także zobowiązania (w tym związane ze stronami zainteresowanymi) oraz obowiązki wynikające z wymagań prawnych, nadzorczych i innych, c) określić procesy i działania realizowane w ramach tych procesów wchodzące w zakres SZRK, d) wziąć pod uwagę wymagania i oczekiwania stron zainteresowanych oraz interes społeczny, e) określić zakres SZRK biorąc pod uwagę rozmiar, charakter działalności i złożoność organizacji. Określając zakres SZRK organizacja powinna udokumentować i uzasadnić wyłączenia. Wszelkie zastosowane wyłączenia nie powinny mieć wpływu na zdolność i obowiązek organizacji do zapewnienia przejrzystości jej procesów i działań oraz zdolności do spełnienia wymagań prawnych lub innych oraz wymagań nadzorczych. UWAGA 1 Wyłączenia nie mogą dotyczyć żadnego z wymagań SZRK a jedynie procesów lub części organizacji. UWAGA 2 Procesy mogą nosić różne nazwy, w zależności od systemu zarządzania, dla potrzeb którego zostały określone jednak dla potrzeb SZRK procesy powinny być określone w sposób możliwe szczegółowy. UWAGA 3 Decyzja dotycząca określenia zakresu SZRK powinna być poprzedzona dokładną analizą procesów organizacji i oceną ryzyka, związanego z ich realizacją. 4.4 System zapobiegania ryzykom korupcyjnym Organizacja powinna ustanowić, wdrożyć, utrzymywać i ciągle doskonalić SZRK, wraz z niezbędnymi procesami i ich powiązaniami. 5 Przywództwo 5.1 Przywództwo i zaangażowanie. Najwyższe kierownictwo organizacji oraz kierownictwo wykonawcze powinno podjąć działania w celu promowania, wspierania i doskonalenia funkcjonowania SZRK poprzez odpowiednie motywowanie pracowników, szkolenia oraz promowanie kultury przestrzegania zasad etyki postępowania, przestrzegania wewnętrznych regulacji oraz wymagań prawnych i innych. 5.2 Zaangażowanie kierownictwa. Najwyższe kierownictwo powinno wykazać swoje zaangażowanie we wdrożenie, utrzymanie i doskonalenie SZRK poprzez: a) ustanowienie i udokumentowanie polityki antykorupcyjnej, b) ustanowienie i udokumentowanie celów SZRK, c) zapewnienie, że polityka antykorupcyjna i cele są adekwatne do strategii i zakresu działania organizacji oraz zawierają działania zmierzające do redukowania zagrożeń korupcyjnych, d) zapewnienie niezbędnych zasobów potrzebnych dla ustanowienia, stosowania i doskonalenia SZRK, e) zapewnienie, że zostały określone: metodyka oceny ryzyka, kryteria akceptacji ryzyka oraz akceptowalne poziomy ryzyka korupcyjnego, Strona 12 z 23

14 f) ustanowienie i udokumentowanie SZRK, w sposób adekwatny do strategii, celów, ryzyk korupcyjnych oraz mających zastosowanie przepisów prawnych i innych, g) zakomunikowanie pracownikom istoty skutecznego wdrożenia, stosowania i doskonalenia SZRK, h) zapewnienie, że SZRK osiąga zamierzone cele, i) promowanie ciągłego doskonalenia SZRK oraz wykazanie zaangażowania w ciągłe doskonalenie, j) określenie odpowiedzialności i uprawnień pracowników w zakresie wdrożenia, stosowania i doskonalenia SZRK, k) określenie wymagań w zakresie kompetencji pracowników realizujących procesy, z którymi związane jest nieakceptowalne ryzyko korupcyjne, l) zapewnienie, że prowadzone są audity wewnętrzne SZRK, m) przeprowadzanie przeglądów SZRK. 5.3 Polityka antykorupcyjna. Najwyższe kierownictwo powinno ustanowić i udokumentować politykę antykorupcyjną, która: a) jest odpowiednia dla celu istnienia organizacji, b) określa ramy dla ustalenia celów SZRK, c) zawiera zobowiązanie do przestrzegania wymagań prawnych i innych, d) zawiera zobowiązanie do przestrzegania wewnętrznych regulacji SZRK, e) zawiera zobowiązanie do ciągłego doskonalenia SZRK. Polityka antykorupcyjna powinna być: a) zakomunikowana i udostępniona pracownikom, b) zakomunikowana i udostępniona stronom zainteresowanym, w tym stronom trzecim działającym w imieniu lub na zlecenie organizacji, c) regularnie przeglądana pod kątem aktualności i adekwatności w ustalonych odstępach czasu lub w razie wystąpienia istotnych zmian, d) dostosowywana do zmieniających się okoliczności wynikających z wymagań wewnętrznych i zewnętrznych. 5.4 Role, odpowiedzialność i uprawnienia w organizacji Najwyższe kierownictwo powinno zagwarantować, że odpowiedzialność i uprawnienia związane z rolami pracowników w procesach, w których zidentyfikowano nieakceptowalne ryzyka korupcyjne zostały właściwie przypisane, udokumentowane i zakomunikowane w organizacji. Najwyższe kierownictwo powinno przydzielić odpowiedzialność, uprawnienia i role potrzebne do: a) zapewnienia, że SZRK organizacji jest zgodny z wymaganiami niniejszego standardu; b) procesy organizacji są nadzorowane w celu zapobiegania wystąpieniu incydentów korupcyjnych, c) sporządzania dla najwyższego kierownictwa raportów na temat skuteczności SZRK. 6 Planowanie 6.1 Uwzględnienie ryzyka w procesie planowania Organizacja powinna uwzględnić zidentyfikowane ryzyko w procesie planowania: Strona 13 z 23

15 a) SZRK, w tym konieczne dokumenty, zasoby, działania i środki nadzoru, b) określania celów w zakresie zapobiegania korupcji. 6.2 Cele w zakresie zapobiegania korupcji i plany ich realizacji Najwyższe kierownictwo powinno zagwarantować, że cele dotyczące zapobiegania korupcji są zakomunikowane w organizacji oraz wśród stron trzecich pracujących dla organizacji lub w jej imieniu oraz komunikowane stronom zainteresowanym. Cele w zakresie zapobiegania korupcji powinny być: a) spójne z polityką i strategią antykorupcyjną, b) adekwatne do zagrożeń korupcyjnych i związanego z nimi ryzyka, c) realne do osiągnięcia, d) mierzalne, e) monitorowane, analizowane i oceniane. Aby osiągnąć cele organizacja powinna określić: a) personel odpowiedzialny za ich realizację, b) działania, których realizacja jest konieczna dla osiągania celów, c) zasoby potrzebne do ich realizacji, d) terminy ich realizacji, e) metody oceny ich skuteczności. UWAGA Organizacja może stosować wskaźniki i wyznaczać cele poprzez wskazanie wielkości tych wskaźników jednak wskazane jest aby określiła również sposób w jaki zamierza osiągać te wielkości. Samo wskazanie wielkości wskaźników jako sposób zaplanowania celów może nie być wystarczające oraz może prowadzić do zbyt technicznego podejścia do zapobiegania ryzyku korupcji oraz nie prowadzić do faktycznej skuteczności SZRK. 7 Wsparcie 7.1 Zasoby Organizacja powinna określić i zapewnić zasoby niezbędne dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZRK. 7.2 Kompetencje Organizacja powinna: a) określić wszystkie niezbędne kompetencje personelu realizującego prace związane z procesami, w których stwierdzono nieakceptowalne ryzyka korupcyjne, obejmujące również kompetencje stron trzecich działających w imieniu lub na zlecenie organizacji, b) zagwarantować, że ten personel jest kompetentny dzięki odpowiedniemu wykształceniu, szkoleniu, doświadczeniu i umiejętnościom, c) w razie konieczności podjąć działania konieczne do zdobycia niezbędnych kompetencji i oceniać skuteczność tych działań, d) zachowywać odpowiednie udokumentowane informacje jako dowód kompetencji. 7.3 Świadomość Personel organizacji, a w szczególności osoby realizujące zadania w ramach procesów, z którymi związane jest nieakceptowalne ryzyko korupcyjne powinny być świadome: a) zobowiązań wynikających z polityki antykorupcyjnej, Strona 14 z 23

16 b) wymagań prawnych oraz innych, c) zobowiązań wynikających z zasad etyki postępowania, d) znaczenia ich pracy dla osiągania zobowiązań i celów w zakresie antykorupcji, e) konsekwencji prawnych, biznesowych i wizerunkowych nieprzestrzegania wymagań SZRK, wymagań prawnych i innych, f) zasad postępowania w sytuacjach podejrzenia działań o charakterze korupcjogennym, g) ich własnej roli w stosowaniu i doskonaleniu SZRK. 7.4 Komunikacja Organizacja powinna określić potrzeby i zasady wewnętrznej i zewnętrznej komunikacji istotnej dla SZRK, w tym: a) udokumentowane metody komunikacji wewnętrznej, z uwzględnieniem informowania najwyższego kierownictwa o wszelkich przypadkach korupcji i zdarzeń o charakterze korupcjogennym, b) udokumentowane metody informowania organów państwowych zajmujących się zwalczaniem przestępstw korupcyjnych, c) udokumentowane metody komunikacji ze stronami trzecimi, których bezpośrednio lub pośrednio dotyczą incydenty oraz stronami zainteresowanymi pozyskaniem informacji o tych incydentach, d) pozyskiwania i dokumentowania informacji zewnętrznych w zakresie rozwiązań i praktyk antykorupcyjnych w celu ich wykorzystania dla potrzeb szkoleniowych oraz związanych z podnoszeniem świadomości pracowników i stron trzecich działających w imieniu lub na zlecenie organizacji, e) zachowania drogi służbowej w zgłaszaniu przypadków korupcji i zdarzeń o charakterze korupcjogennym, z wyjątkiem sytuacji gdy podejrzenie korupcji dotyczy przełożonych pracowników zgłaszających takie incydenty, f) zapewnienia poufności informacji odnoszących się do: okoliczności zdarzeń korupcyjnych oraz zdarzeń o charakterze korupcjogennym, dowodów zdarzeń korupcyjnych oraz zdarzeń o charakterze korupcjogennym, osób podejrzanych o działania korupcyjne i/lub korupcjogenne, osób zgłaszających przypadki korupcji i zdarzeń o charakterze korupcjogennym, w sposób gwarantujący uczciwy i bezstronny przebieg postepowań wyjaśniających, g) rejestrowania incydentów, przebiegu postępowań wyjaśniających, zebranych dowodów tych zdarzeń. Organizacja powinna zapewnić odpowiednią infrastrukturę do komunikacji wewnętrznej i zewnętrznej oraz metody bezpiecznej komunikacji. 7.5 Udokumentowane informacje Postanowienia ogólne SZRK powinien zawierać: a) udokumentowane informacje wymagane przez niniejsze wymagania, b) udokumentowane informacje określone przez organizację jako potrzebne do osiągnięcia skuteczności SZRK Przygotowanie i aktualizacja Przygotowując i aktualizując udokumentowane informacje organizacja powinna zapewnić: Strona 15 z 23

17 a) przypisanie odpowiedzialności, uprawnień i ról w zakresie ich opracowywania, weryfikacji, zatwierdzania, wprowadzania zmian i ponownego zatwierdzania, b) ich odpowiednią identyfikację, c) dostarczanie do miejsc gdzie są one potrzebne, d) ich odpowiednią ochronę, e) ich zachowywanie przez określony czas, f) właściwy sposób przechowywania, g) ich czytelność i dostępność oraz zabezpieczenie przed niewłaściwym użyciem lub wykorzystaniem Nadzór nad udokumentowaną informacją Udokumentowane informacje wymagane przez SZRK powinny być nadzorowane, aby zapewnić, że są one: a) dostępne i odpowiednie do używania w wymaganym miejscu i czasie, b) odpowiednio chronione. W ramach nadzoru nad udokumentowanymi informacjami organizacja powinna określić i udokumentować wymagania w zakresie ich: a) opracowywania, weryfikacji, zatwierdzania, wprowadzania zmian oraz ponownego zatwierdzania, b) rozpowszechniania, c) przechowywania, d) używania, e) wycofywania, f) kontrolowania zmian, g) niszczenia, h) zapobiegania niezamierzonemu użyciu lub wykorzystaniu. Udokumentowane informacje powinny być chronione przed naruszeniem integralności oraz poufności. Organizacja powinna objąć nadzorem udokumentowane informacje pochodzące z zewnątrz, które są konieczne dla skutecznego i zgodnego z niniejszymi wymaganiami funkcjonowania SZRK. Udokumentowane informacje powinny być poddawane przeglądom w celu zapewnienia ich aktualności. Nieaktualne informacje powinny być wycofywane z miejsc, w których są stosowane lub jeżeli z jakichś przyczyn dostępność nieaktualnych udokumentowanych informacji jest konieczna wówczas powinny one być jednoznacznie zidentyfikowane, w sposób uniemożliwiający ich przypadkowe lub niezamierzone wykorzystanie. Rozpowszechnianie udokumentowanych informacji powinno być nadzorowane w celu zapewnienia odpowiednim osobom dostępu do nich oraz bezpieczeństwa osób zgłaszających incydenty, z uwzględnieniem poszanowania praw oraz dobrego imienia osób biorących udział w tych incydentach, a także bezpieczeństwa i bezstronności postępowań wyjaśniających. 8 Funkcjonowanie 8.1 Planowanie i nadzór operacyjny Organizacja powinna nadzorować procesy, a w szczególności procesy, z którymi związane są nieakceptowalne ryzyka korupcyjne poprzez: Strona 16 z 23

18 a) ustanowienie kryteriów realizacji tych procesów, b) wdrożenie zasad nadzoru nad tymi procesami, zgodnie z określonymi kryteriami, c) zapewnienie aby procesy te były realizowane przez personel posiadający odpowiednie i jednoznacznie określone oraz udokumentowane odpowiedzialności, uprawnienia i przypisane role, d) zachowanie udokumentowanych informacji w zakresie niezbędnym do wykazania ich przejrzystości i zgodności z wymaganiami SZRK, wymaganiami prawnymi i innymi oraz zgodności z zasadami etyki postępowania, celami w zakresie zapobiegania korupcji i strategią antykorupcyjną. Organizacja powinna planować i nadzorować zmiany oraz dokonywać przeglądu konsekwencji zmian dotyczących procesów w celu zapobiegania negatywnym skutkom związanym ze zmianami w tych procesach. Planując procesy oraz zmiany w procesach organizacja powinna zapewnić, że są one realizowane i nadzorowane w sposób zapobiegający zdarzeniom korupcyjnym i korupcjogennym mogącym przyczyniać się do wzrostu ryzyka korupcji, takim jak: a) konflikty interesów, b) nepotyzm, c) kumoterstwo, d) dowolność postępowania, e) kumulowanie uprawnień, f) brak jawności postępowania, g) słabość systemu kontroli i nadzoru, h) lekceważenie dokumentacji i sprawozdawczości, i) innym zachowaniom i praktykom, które mogą sprzyjać korupcji. Stwierdzenie występowania takich zdarzeń powinno być rejestrowane. Organizacja powinna stosować skuteczne metody zapobiegania takim mechanizmom. Organizacja powinna udokumentować wymagania w zakresie postępowania ze zdarzeniami korupcyjnymi i korupcjogennymi obejmującym: a) zgłaszanie przypadków takich zdarzeń, b) ich rejestrowanie, c) postępowanie z nimi, d) zabezpieczanie dowodów takich zdarzeń, e) ochronę pracowników sygnalizujących takie zdarzenia, f) zachowanie poufności odnośnie udokumentowanych informacji dotyczących takich zdarzeń, g) zgłaszanie zdarzeń, w których istnieje podejrzenie popełnienia przestępstw korupcyjnych organom państwowym odpowiedzialnym za ściganie przestępstw korupcyjnych, h) analizowanie przyczyn takich zdarzeń, i) zapobieganie tym zdarzeniom. Organizacja powinna określić, wdrożyć, udokumentować, stosować i doskonalić kryteria odnoszące się do zapewnienia: a) bezpieczeństwa w kontaktach z osobami i organizacjami zewnętrznymi, b) korzystania z ochrony antykorupcyjnej odpowiednich organów państwowych, jeśli ma to zastosowanie, Strona 17 z 23

19 c) realizacji i nadzorowania procesów, z którymi związane są nieakceptowalne ryzyka korupcyjne. Organizacja powinna zapewnić nadzór nad procesami zlecanymi na zewnątrz. UWAGA Niektóre procesy ze swej istoty są w większym stopniu narażone na zagrożenia korupcyjne. Do procesów takich zwykle zalicza się procesy związane z realizacją zakupów, procesy inwestycyjne, zarządzania finansami, rekrutacji i zatrudniania, zarządzania majątkiem organizacji. W ramach funkcjonującego SZRK organizacja powinna: a) oceniać czy jej współpraca z dostawcami i partnerami handlowymi nie powoduje ryzyka występowania zjawisk korupcyjnych i korupcjogennych, b) ustanowić, udokumentować i wdrożyć wymagania w zakresie postępowania ze skargami, reklamacjami i wnioskami dotyczącymi zjawisk korupcyjnych oraz korupcjogennych, c) ustanowić, udokumentować i wdrożyć wymagania w zakresie postępowania dyscyplinarnego wobec pracowników nieprzestrzegających wymagań SZRK oraz wymagań prawnych, nadzorczych i innych, do których organizacja się zobowiązała, d) ustanowić, udokumentować i wdrożyć zasady prowadzenia postępowań wyjaśniających w odniesieniu do zarejestrowanych incydentów. 8.2 Ocena ryzyka korupcyjnego Organizacja powinna ustanowić, udokumentować, wdrożyć i utrzymywać formalny proces zarządzania ryzykiem korupcyjnym, który: a) jest adekwatny do kontekstu wewnętrznego i zewnętrznego działania organizacji i jej charakteru, b) określa metodykę oceny ryzyka, w tym jego identyfikacji, analizy i ewaluacji oraz postępowania z ryzykiem, a także jego monitorowania i przeglądu, komunikowania i konsultowania, c) bierze pod uwagę wymagania prawne, nadzorcze i inne, d) określa częstotliwość oceny ryzyka, e) określa odpowiedzialność i uprawnienia, związane ze wszystkimi etapami zarządzania ryzykiem określonym w ppkt. b), f) określa kryteria akceptacji ryzyka, w tym ryzyka rezydualnego, g) określa sposób dokumentowania wyników oceny ryzyka i postępowania z ryzykiem. UWAGA Proces zarządzania ryzykiem może być realizowany zgodnie z ISO Organizacja powinna, w określonych przez siebie odstępach czasu, przeprowadzać ocenę ryzyka korupcyjnego. Określając odstępy czasu pomiędzy kolejnymi ocenami ryzyka organizacja powinna uwzględnić wymagania wynikające z kontekstu organizacji, w tym z: a) konieczności zapewnienia skuteczności SZRK, b) wprowadzonych zmian dotyczących procesów i działań realizowanych przez organizację oraz dla organizacji lub w jej imieniu, c) wprowadzonych zmian w wymaganiach prawnych, nadzorczych i innych, d) wprowadzonych zmian w celach dotyczących zapobiegania korupcji, e) konieczności nadzorowania procesów i działań organizacji, f) potrzeby stosowania dobrych praktyk postępowania. Strona 18 z 23

20 Ocena ryzyka powinna dotyczyć procesów i działań realizowanych przez organizację lub zlecanych na zewnątrz. Dokonując oceny ryzyka organizacja powinna brać pod uwagę wszystkie rzeczywiste i potencjalne zagrożenia wewnętrzne i zewnętrzne, które jest w stanie zidentyfikować. UWAGA Zaleca się aby proces oceny ryzyka był realizowany zespołowo w celu uzyskania lepszych efektów. 8.3 Postępowanie z ryzykiem korupcyjnym Organizacja powinna zaplanować, określić udokumentować i wdrożyć sposób postępowania z ryzykiem korupcyjnym, uwzględniając: a) adekwatne do zidentyfikowanych zagrożeń sposoby reakcji na ryzyko, b) potrzeby w zakresie określenia odpowiednich działań, c) potrzeby w zakresie nadzorowania procesów oraz transakcji, z którymi związane jest nieakceptowalne ryzyko, d) potrzeby w zakresie zapewnienia wymaganych zasobów i środków finansowych, e) potrzeby w zakresie przydzielenia odpowiedzialności i zadań związanych z postępowaniem z ryzykiem, f) interesy organizacji i jej otoczenia, g) konieczność zachowania zgodności z wymaganiami prawnymi, nadzorczymi i innymi. Określając sposoby postępowania z ryzykiem korupcyjnym organizacja powinna określić sposoby postępowania z ryzykiem adekwatne do rodzaju i wielkości ryzyka. Organizacja powinna dokonywać okresowej oceny skuteczności działań realizowanych w ramach postępowania z ryzykiem oraz dokumentować, monitorować i analizować te działania w celu potwierdzenia czy są one właściwe. UWAGA Wszystkie zidentyfikowane ryzyka, w tym ryzyko rezydualne powinny być zaakceptowane przez odpowiednie kierownictwo organizacji. 8.4 Strategia antykorupcyjna Ustalenie i wybór strategii antykorupcyjnej Ustalenie i wybór strategii antykorupcyjnej powinien opierać się na wynikach oceny ryzyka. Organizacja powinna ustalić odpowiednią strategię antykorupcyjną, aby: a) określić priorytetowe działania antykorupcyjne, b) określić cele dotyczące zapobiegania korupcji, c) określić stosowane zasady postępowania etycznego, d) określić swoje wymagania stawiane pracownikom, dostawcom i stronom trzecim pracującym dla organizacji lub w jej imieniu, e) określić praktyki i zasady postępowania w zakresie zapobiegania korupcji i zjawiskom korupcjogennym Ustanowienie wymagań dotyczących zasobów Organizacja powinna określić wymagania dotyczące zasobów niezbędnych do wdrożenia, stosowania i doskonalenia SZRK. Zasoby obejmują: a) personel organizacji, b) personel stron trzecich działających w imieniu lub na zlecenie organizacji, c) informacje i dane, d) infrastrukturę techniczną i wyposażenie, Strona 19 z 23

21 e) środowisko pracy, f) finanse, g) partnerów i dostawców. 9 Ocena skuteczności 9.1 Monitorowanie, pomiar, analiza i ocena Organizacja powinna określić i udokumentować wymagania w zakresie monitorowania i pomiaru oraz analizy i oceny SZRK, w tym: a) skuteczności postępowania z ryzykiem korupcyjnym, b) procesów, z którymi związane jest ryzyko korupcyjne, c) adekwatności i skuteczności strategii antykorupcyjnej, d) skuteczności realizacji celów w zakresie zapobiegania korupcji, e) incydentów. Organizacja powinna utrzymywać udokumentowane informacje dotyczące wyników monitorowania, pomiaru, analizy i oceny SZRK. 9.2 Audit wewnętrzny Organizacja powinna w planowanych odstępach czasu przeprowadzać audity wewnętrzne, które dostarczają informacji, czy SZRK: a) jest zgodny z niniejszymi wymaganiami oraz jej własnymi wymaganiami, b) jest skutecznie wdrożony i utrzymywany. Organizacja powinna zaplanować, ustanowić, wdrożyć i utrzymywać program(y) auditów uwzględniając ich częstość, metody, odpowiedzialność, wymagania dotyczące planowania i dokumentowania. Programy auditów powinny uwzględniać: a) co najmniej procesy, z którymi związane są nieakceptowalne ryzyka korupcyjne, b) procesy, w których stwierdzono zdarzenia (incydenty) o charakterze korupcjogennym, c) wyniki poprzednich auditów. Organizacja powinna: a) zdefiniować kryteria i zakres każdego z auditów, b) wybrać auditorów i przeprowadzać audity, tak aby zapewnić obiektywność i bezstronność procesu auditu, c) zapewnić, że wyniki auditów są raportowane odpowiedniemu kierownictwu, d) zachowywać udokumentowane informacje stanowiące dowody wdrożenia programów auditów. Programy auditów powinny opierać się na wynikach oceny ryzyka korupcyjnego i na wynikach poprzednich auditów. Organizacja powinna udokumentować wymagania w zakresie planowania, prowadzenia auditów uwzględniający: a) zakres, b) częstość, c) metodykę, d) kompetencje, e) odpowiedzialności, Strona 20 z 23

22 f) wymagania dotyczące prowadzenia, g) wymagania dotyczące dokumentowania wyników auditów. Kierownictwo odpowiedzialne za auditowany obszar powinno zapewnić, że wszelkie niezbędne korekcje i działania korygujące są podejmowane bez zbędnych opóźnień w celu wyeliminowania wykrytych niezgodności oraz ich przyczyn. Organizacja powinna dokonywać oceny skuteczności działań podejmowanych w następstwie auditów. 9.3 Przegląd zarządzania Najwyższe kierownictwo powinno dokonywać przeglądów SZRK, w zaplanowanych odstępach czasu, w celu utrzymywania jego przydatności, adekwatności i skuteczności. Przeglądy zarządzania powinny uwzględniać: a) status działań po poprzednich przeglądach, b) zmiany wewnętrzne i zewnętrzne wpływające na SZRK, c) informacje dotyczące potrzeby wprowadzenia zmian w SZRK, d) informacje o skuteczności SZRK, e) zagrożenia (tj. źródła ryzyka), które nie zostały uwzględnione w procesie oceny ryzyka, f) adekwatność polityki antykorupcyjnej, g) stopień realizacji celów w zakresie zapobiegania korupcji, h) skuteczność i adekwatność strategii antykorupcyjnej, i) informacje od przypadkach korupcji i działaniach antykorupcyjnych pochodzących z zewnątrz organizacji, j) informacje o dobrych praktykach antykorupcyjnych stosowanych przez inne organizacje lub wynikające z wymagań stron zainteresowanych, k) wyniki auditów, l) status działań korygujących. Wyniki przeglądu zarządzania powinny zawierać decyzje związane z możliwościami ciągłego doskonalenia i możliwością zmian oraz informacje dotyczące potrzeby wprowadzenia zmian w SZRK, a także następujące elementy: a) zmiany zakresu SZRK, b) zalecenia dotyczące doskonalenia SZRK, c) zalecenia dotyczące aktualizacji oceny ryzyka oraz postępowania z ryzykiem korupcyjnym, d) wymagania dotyczące zasobów. Organizacja powinna zachowywać udokumentowane informacje jako dowód przeglądów zarządzania. Organizacja powinna: wyników a) przekazywać wyniki przeglądów zarządzania personelowi odpowiedzialnemu za realizację procesów oraz gdy ma to zastosowanie personelowi stron trzecich działających w imieniu lub na zlecenie organizacji, b) podejmować odpowiednie działania związane z tymi wynikami. 10 Doskonalenie 10.1 Niezgodności i działania korygujące W przypadku wystąpienia niezgodności (w tym incydentu) organizacja powinna: Strona 21 z 23

23 a) zidentyfikować niezgodność, b) udokumentować niezgodność, c) określić, wdrożyć i udokumentować działania korygujące prowadzące do wyeliminowania przyczyn niezgodności, d) określić, wdrożyć i udokumentować działania korekcyjne, e) zatwierdzić działania korygujące i korekcyjne, f) ocenić skuteczność działań, g) przekazywać informacje o niezgodności pracownikom i zainteresowanym stronom w celu zapobiegania wystąpieniu takich samych lub podobnych niezgodności w innych obszarach działania organizacji. Podjęte działania powinny być adekwatne do skutków niezgodności. Organizacja powinna zachowywać udokumentowane informacje jako dowód: a) niezgodności i wszelkich działań podjętych po ich wystąpieniu, b) rezultatów działań korygujących Ciągłe doskonalenie Organizacja powinna ciągle doskonalić przydatność, adekwatność i skuteczność SZRK. W ramach doskonalenia organizacja powinna: - analizować zdarzenia, - przeprowadzać ponownie oceny ryzyka korupcyjnego i analizować ich wyniki, - analizować skargi, reklamacje i wnioski klientów, - analizować przydatność i adekwatność polityki antykorupcyjnej, - analizować przydatność, adekwatność i skuteczność realizacji strategii antykorupcyjnej oraz celów w zakresie antykorupcji, - podnosić świadomość pracowników oraz stron trzecich działających w imieniu lub na zlecenie organizacji, - analizować skuteczność działań korygujących i korekcyjnych, - analizować dobre praktyki w celu ustalenia, które z nich mogą być zastosowane do doskonalenia SZRK, - analizować informacje o zdarzeniach korupcyjnych pochodzące spoza organizacji w celu ich wykorzystania dla podniesienia świadomości pracowników oraz doskonalenia SZRK, - analizować wyniki auditów wewnętrznych i zewnętrznych. UWAGA W celu doskonalenia SZRK organizacja może również wykorzystywać następujące działania: - badania podatności procesów na zagrożenia korupcyjne, - audity organizacji specjalizujących się w badaniu zjawisk korupcji oraz systemów antykorupcyjnych, - analizę wskaźników korupcji, - opinie ekspertów, - opinie stron zainteresowanych, - inne działania, które uzna za przydatne. Strona 22 z 23

24 Bibliografia 1. Dyrektywy ISO/IEC:2012, część I. Skonsolidowany suplement ISO Procedury właściwe dla ISO. 2. IQNet SR 10: Systemy zarządzania społecznej odpowiedzialności. Wymagania. 3. ISO 26000:2010 (PN-ISO 26000:2012) Wytyczne dotyczące społecznej odpowiedzialności. 4. ISO 31000: 2009 (PN-ISO 31000:2012) Zarządzanie ryzykiem -- Zasady i wytyczne. 5. ISO/IEC Guide 73:2009 (PN-ISO Guide 73:2012) Zarządzanie ryzykiem Terminologia 6. Uchwała nr 37 Rady Ministrów z dnia 1 kwietnia 2014 r. w sprawie Rządowego Programu Przeciwdziałania Korupcji na lata (MP z 2014, poz. 299). Strona 23 z 23