Комплаенс-культура как конкурентное преимущество: что реально меняет ISO 37001:2025

Комплаенс в организациях перестал быть сводом «правильных намерений». Инвесторы, банки и крупные заказчики оценивают управляемость рисков, прозрачность решений и способность руководства предотвращать злоупотребления до того, как они конвертируются в издержки. Здесь ISO 37001:2025 играет роль технологического «каркаса»: он описывает, какие элементы системы менеджмента борьбы со взяточничеством должны существовать, как они связаны между собой и на что смотреть при проверке эффективности.

В практическом смысле внедрение стандарта начинается с контекста: организация определяет, где именно возникают уязвимости — в закупках, взаимодействии с контролёрами, при согласовании договоров, в отношениях с посредниками и поставщиками. Это не формальная «процедура ознакомления», а разметка реальных точек принятия решений. Например, если закупка проходит в сжатые сроки и у ответственного есть право уточнять требования у ограниченного круга поставщиков, риск возникает не в «законе вообще», а в конкретной связке полномочий и стимулов. Такой подход переводит разговор о комплаенсе с уровня лозунгов на язык управляемых процессов.

Далее формируется политика и назначаются роли. Важный момент: стандарт требует демонстрации лидерства со стороны высшего руководства — не декларативно, а через распределение ответственности, выделение ресурсов и измеримые цели. Если функция комплаенса подчинена уровню, способному реально влиять на решения (и не находится в конфликте интересов), система живёт; если нет — любые документы превращаются в архив. На этом этапе появляются понятные для сотрудника регламенты: как урегулировать конфликт интересов, когда и кому декларировать подарки и представительские расходы, как проверять третьи стороны до сделки и что делать при поступлении сигнала по «горячей линии».

Ключевой элемент — оценка рисков. Это не абстрактная таблица, а сопоставление вероятности и ущерба для конкретных сценариев: от «мягких» влияний при формировании ТЗ до «ускорения» согласований. Тут полезно совмещать методологию ISO 37001 с национальными требованиями к внутреннему анализу коррупционных рисков (ВАКР): результаты ВАКР становятся входом в план мер СМБВ, а контроль исполнения мер — частью цикла улучшений. Важно, чтобы риск-карта не лежала отдельно от бюджетов и KPI: если мера не профинансирована и не включена в индивидуальные цели, она не работает.

Обучение встраивается в процесс, а не заменяет его: руководители получают кейс-ориентированные сессии с моделированием «серых зон», закупщики — практику по доказуемой сопоставимости предложений и разделению функций, юристы — конструктор антикор-клаузы и чек-лист due diligence контрагентов. Сотрудник должен понимать, что именно он делает завтра иначе, а руководитель — как проверить, что это случилось. Параллельно выстраивается канал доверия, который не сводится к «ящику для обращений»: нужны понятные правила поступления, регистрации, проверки и обратной связи, включая защиту заявителей.

Отдельный вопрос — как убедиться, что система реально работает. Внутренний аудит по ISO 37001 смотрит не только на наличие документов, но и на «связку» записей: событие → действие → подтверждение. Например, заявлен конфликт интересов — есть ли решение о замене сотрудника в комиссии? Поступил сигнал — есть ли протокол проверки и меры? Закупка проведена — можно ли восстановить ход формирования требований и оценочных листов? Поиск таких «нитей» — лучшая профилактика для формализма. Итоги аудита выводятся на анализ со стороны руководства, где принимаются корректирующие действия и утверждаются новые цели.

Зачем это бизнесу? Во-первых, снижается стоимость риска: меньше срывов сделок, штрафов и «замороженных» тендеров. Во-вторых, сокращаются транзакционные издержки — появляется доверенная «память системы», которая ускоряет согласования и делает ответственность прозрачной. В-третьих, повышается качество решений: когда сотрудник заранее знает, что будет проверено и как это проверяется, пространство для неоднозначных трактовок становится меньше.

Чтобы не потеряться в объёме задач, удобно идти короткими итерациями. На практике это выглядит так: быстрая диагностика зрелости (2–3 недели), приоритизация «узких горлышек» на полугодие, запуск изменений там, где эффект измерим (обычно закупки и работа с третьими сторонами), затем — расширение периметра. Если требуется сертификация, параллельно готовится доказательная база и устраняются «пробелы» по ролям и записям. Важная деталь — поддержка между аудитами: именно она превращает разовое внедрение в устойчивую практику, которую можно показать партнёрам и инвесторам.

Начните с малого: определите три решения в вашей организации, где сегодня больше всего «серых зон», и зафиксируйте, какие записи подтвердят прозрачность этих решений завтра. Из этого родится ваш первый реалистичный план СМБВ.