Jak se firmy mohou bránit podvodům: inspiraci naleznou v nové ISO 37003

Podvody se dějí a budou dít. Ale můžeme jim v organizaci házet klacky pod nohy. Jak na to? Inspirovat se můžete novou normou ISO 37003 Systémy managementu ochrany proti podvodům - Pokyny k řízení rizika podvodů, která vyšla tento rok.

Patří mezi normy z řady ISO 37 tisíc a jde o normu MSS-A tedy o standard pro řízení organizací. Má tedy stejnou strukturu jako další požadavkové standardy tohoto typu (například známá ISO 9001). Co obsahuje a jaká řešení nabízí?

FCMS - Fraud Control Management Systems

Jde o řízení organizace takovým způsobem, který předchází podvodům a snaží se toto riziko minimalizovat. V případě, že se podvod objeví, usnadní jeho objevení a vyřešení.

Podívejme se na tento systém řízení proto ve 3 rovinách:

1. Prevence: Jak má organizace vytvořit prostředí, kde je podvodné jednání složité realizovat a nevyplácí se?

Můžeme jmenovat například tato klíčová opatření:

• Etická kultura a leadership: Vedení příkladem. Jasně definované hodnoty a standardy chování, které jsou závazné pro všechny.

• Řízení střetů zájmů: Zaměstnanci a partneři mají povinnost deklarovat, pokud mají osobní nebo obchodní vazby, které mohou ovlivnit jejich rozhodování. Stačí i „podezření na střet zájmů“.

• Ověřování zaměstnanců a partnerů: Průběžná prověrka (background check) klíčových pracovníků i obchodních partnerů: insolvenční rejstřík, trestní minulost, sankční seznamy, reputace na trhu.

• Bezpečné nastavení odměn a cílů: Výkonnostní cíle a bonusy by neměly motivovat ke zkrášlování výsledků nebo ke zneužití systému. Vyvažování finanční motivace etickými a procesními cíli.

• Interní kontroly a jejich testování: Firmy by měly pravidelně kontrolovat, zda jejich interní procesy opravdu fungují (fiktivní faktura ve schvalovacím procesu).

2. Detekce: Jak zjistit co nejrychleji, že se něco děje?

Organizace může využít například tyto prostředky:

• Datová analytika a kontrola účetních dat: Identifikace neobvyklých vzorců – třeba opakující se platby jednomu dodavateli těsně pod limitem schválení.

• Bezpečné kanály pro hlášení podvodů (whistleblowing): Zaměstnanci by měli mít možnost anonymně a bez strachu nahlásit podezřelé chování – např. přes formulář na intranetu nebo externí linku.

• Exit interviews: Odcházející zaměstnanci mohou upozornit na neetické praktiky, které by jinak zůstaly skryté.

3. Reakce: Co má organizace dělat, když v případě, že podvod odhalí?

Nezbytné jsou například tyto kroky:

• Rychlé zajištění důkazů: Zabezpečit data, systémy a komunikaci dříve, než může být něco zničeno nebo upraveno.

• Interní vyšetřování oddělené od běžného řízení: Mělo by být objektivní a nezávislé. Vyšetřovatelé nesmí být součástí oddělení, kterého se problém týká.

• Náprava a posílení systému: Každý odhalený podvod by měl vést ke zlepšení slabých míst, úpravám v kontrolních mechanismech nebo školeních.

Celý standard obsahuje vás vede krok za krokem a uvádí řadu příkladů z praxe mnoha firem z mezinárodního prostředí. V přílohách standardu ISO 37003 najdete mimo jiné i typy podvodů, se kterými se jako organizace můžete setkat uvnitř i zvenčí. Ale hlavně návod, jak jim předcházet.

Závěrem

Podvody nejsou jen hrozbou z finančního hlediska, ale i reputačního. Poškodit mohou organizaci rychle a nevratně. Nedávno publikovaná mezinárodní norma ISO 37003:2025 přináší ucelený návod, jak vytvořit systém, který firmě pomůže podvodům předcházet, včas je odhalovat a efektivně na ně reagovat. Ať už jde o útok zvenčí, neetické chování zaměstnanců nebo chyby v systému. Vždycky je zásadní prevence a důslednost.

Držím palce, ať je u vás podvodů všeho druhu co nejméně. A pokud se nějaký objeví, ať na něj včas přijdete a rychle a co nejefektivněji ho vyřešíte. Protože o tom ten systém je. Nezaručuje to, že se podvod nikdy nestane.

A se začleněním této normy do vašeho compliance systému rádi pomůžeme🧡

Veronika Soukupová | www.s-cope.cz | v.soukupova@s-cope.cz