Оформление ISO 37001: внедрение системы менеджмента противодействия коррупции — от оценки рисков до сертификата
Репутационные и юридические последствия коррупционного инцидента несопоставимы с затратами на построение системы его предотвращения. Штраф по статье 19.28 КоАП РФ за незаконное вознаграждение от имени юридического лица может составлять до стократной суммы вознаграждения — и это только административная ответственность, без учёта уголовных рисков для должностных лиц и репутационных потерь. ISO 37001 не даёт абсолютной гарантии от коррупции, но создаёт задокументированное доказательство того, что организация принимала разумные меры для её предотвращения — а это принципиально меняет позицию при взаимодействии с регуляторами и судом.
ISO 37001:2016 «Системы менеджмента противодействия взяточничеству — Требования и руководство по применению» — первый международный стандарт, специально разработанный для управления коррупционными рисками. В 2025 году вышла обновлённая редакция ISO 37001:2025, содержащая уточнения в части должной осмотрительности и управления деловыми партнёрами. Стандарт применим к организациям любого размера и типа — государственным, частным, некоммерческим — в любой юрисдикции. Предшественником ISO 37001 был британский стандарт BS 10500:2011, который фактически утратил актуальность после публикации международной версии.
Важно понимать про сертификаты ISO 37001 «за три дня»
На рынке присутствуют предложения «сертификата ISO 37001 за 15 000–30 000 руб. без выезда» — бумага без какой-либо оценки реального состояния антикоррупционной системы. В контексте ISO 37001 это особенно опасно: если компания попадает в поле зрения регулятора или следователя, номинальный сертификат без реальной системы не защитит — а может быть расценён как попытка создать ложное впечатление добросовестности. Реальная ценность стандарта — именно в работающей системе, а не в бумаге.
Кому ISO 37001 особенно актуален
Стандарт применим универсально, но есть категории организаций, для которых антикоррупционная система — не конкурентное преимущество, а практическая необходимость.
Компании, работающие с госзакупками
Взаимодействие с государственными заказчиками, участие в тендерах, исполнение государственных контрактов — зона повышенного коррупционного риска по определению. Сертификат ISO 37001 всё чаще включается в квалификационные требования крупных тендеров как доказательство комплаенса.
Компании с иностранными партнёрами и инвесторами
Иностранные инвесторы и партнёры работают под юрисдикцией FCPA (США), UK Bribery Act (Великобритания) и аналогичных законов. Они обязаны проводить due diligence партнёров. Сертификат ISO 37001 — международно признанное подтверждение антикоррупционной системы, которое существенно упрощает эту процедуру.
Финансовый сектор и регулируемые отрасли
Банки, страховые компании, управляющие компании работают под усиленным надзором ЦБ РФ и ФАТФ. Антикоррупционная система является частью более широких комплаенс-требований, и ISO 37001 структурирует её выполнение.
Что требует ISO 37001: ключевые элементы системы
Стандарт описывает систему управления, а не набор разовых мер. Его требования охватывают весь цикл — от оценки рисков до расследования выявленных инцидентов.
| Элемент системы | Что требует стандарт | Типичные несоответствия |
|---|---|---|
| Антикоррупционная политика | Задокументированная политика, утверждённая высшим руководством, доведённая до всего персонала и деловых партнёров | Политика есть, но сотрудники её не читали и не подписывали — нет доказательств осведомлённости |
| Уполномоченный по соответствию (compliance officer) | Назначение ответственного за функционирование и мониторинг антикоррупционной системы с достаточными полномочиями и независимостью | Функция формально возложена на юриста или секретаря без реальных полномочий и ресурсов |
| Оценка коррупционных рисков | Систематическая идентификация и оценка рисков взяточничества применительно к конкретным должностям, процессам, проектам и деловым партнёрам | Оценка проведена формально по единому шаблону без привязки к реальным процессам и рискам организации |
| Должная осмотрительность (due diligence) | Проверка деловых партнёров, посредников, поставщиков и клиентов пропорционально уровню коррупционного риска | Due diligence применяется только к новым партнёрам и не повторяется при изменении обстоятельств |
| Финансовый и нефинансовый контроль | Контроль за подарками, представительскими расходами, пожертвованиями, спонсорством, оплатой услуг посредников | Лимиты подарков установлены, но нет реестра полученных и врученных подарков с обязательной регистрацией |
| Обучение персонала | Регулярное обучение всех сотрудников антикоррупционной политике и процедурам, с дополнительным обучением для должностей высокого риска | Обучение проводилось один раз при запуске системы и не повторяется при обновлении политики или найме новых сотрудников |
| Канал информирования (whistleblowing) | Конфиденциальный или анонимный механизм для сообщения о подозрениях на взяточничество с защитой от преследования информаторов | Канал существует, но процедура рассмотрения сообщений не задокументирована и нет подтверждённых случаев применения |
| Расследование и корректирующие действия | Задокументированные процедуры расследования инцидентов, дисциплинарные меры, уведомление регуляторов при необходимости | Процедура расследования описана, но не определены сроки, ответственные и порядок документирования результатов |
ISO 37001 и российское антикоррупционное законодательство
Частый вопрос: как соотносится ISO 37001 с обязательными требованиями российского законодательства в части противодействия коррупции? Ответ: они дополняют друг друга, причём ISO 37001 в ряде случаев создаёт доказательную базу для выполнения именно российских норм.
Федеральный закон №273-ФЗ
«О противодействии коррупции» обязывает организации разрабатывать меры по предупреждению коррупции (статья 13.3). ISO 37001 является признанным инструментом реализации этих мер системно.
Статья 19.28 КоАП РФ
Незаконное вознаграждение от имени юридического лица. Доказательство того, что компания «предприняла все зависящие от неё меры» для предотвращения правонарушения — основание для освобождения от ответственности. ISO 37001 создаёт именно такую доказательную базу.
UK Bribery Act / FCPA
Для компаний с деловыми связями с Великобританией или США: наличие «адекватных процедур» (adequate procedures по UK Bribery Act) является полной защитой от уголовного преследования организации. ISO 37001 — признанный способ их подтвердить.
ISO 37001:2025 — что изменилось в новой редакции
В 2025 году опубликована обновлённая редакция стандарта. Ключевые изменения: усилены требования к оценке рисков деловых партнёров и посредников, расширены требования к каналам информирования (whistleblowing), добавлены уточнения в части управления конфликтом интересов, усилен акцент на «тоне сверху» — реальном лидерстве высшего руководства в антикоррупционной культуре, а не только на политических декларациях. При подготовке к сертификации в 2025–2026 годах рекомендуем ориентироваться на актуальную редакцию.
Этапы внедрения и сертификации ISO 37001
Диагностический аудит — до 1 месяца
Оцениваем текущее состояние: существующие антикоррупционные политики и процедуры, уровень осведомлённости персонала, практику работы с деловыми партнёрами, финансовый контроль, наличие и функционирование каналов информирования. Выявляем коррупционные риски, специфичные для данной организации и отрасли. Результат — подробный отчёт с приоритизированным планом работ.
Обучение персонала — 3 дня
Обучаем уполномоченного по соответствию, юридическую службу, финансовый блок и внутренних аудиторов. Программа: требования ISO 37001:2025, методология оценки коррупционных рисков, процедуры due diligence, разработка и ведение реестра подарков и представительских расходов, организация канала информирования, подготовка к внешнему аудиту.
Оценка коррупционных рисков — ключевой этап
Совместно с руководителями ключевых направлений проводим систематическую оценку коррупционных рисков: идентифицируем должности и процессы с повышенным риском, оцениваем вероятность и последствия инцидентов, определяем уровень существующих контролей. Именно качество этой оценки определяет весь дальнейший дизайн системы — и именно её проверяют аудиторы в первую очередь.
Разработка и внедрение документации — от 6 месяцев
Разрабатываем антикоррупционную политику, процедуру оценки коррупционных рисков, процедуру due diligence деловых партнёров, регламент работы с подарками и представительскими расходами, положение о канале информирования и защите информаторов, процедуру расследования инцидентов, программу обучения персонала, форму декларации об отсутствии конфликта интересов. Параллельно — внедрение: персонал работает по новым процедурам, регистрация подарков ведётся фактически, due diligence применяется к реальным сделкам.
Внутренний аудит и анализ со стороны руководства
Проводим внутреннюю проверку системы — не только документации, но и реального функционирования: заполняются ли реестры, применяется ли due diligence к новым партнёрам, функционирует ли канал информирования. Организуем анализ со стороны высшего руководства с задокументированными выводами и решениями.
Сертификационный аудит — от 3 месяцев
Двухэтапный аудит органа по сертификации: документальная проверка и выездной аудит. Аудиторы по ISO 37001 проверяют не просто наличие документов, но и «тон сверху» — реальную приверженность высшего руководства. Интервью с топ-менеджментом являются стандартной частью аудита. По итогам выдаётся сертификат сроком на 3 года с ежегодными надзорными аудитами.
Стоимость оформления ISO 37001 в 2026 году
ISO 37001 относится к стандартам, где разрыв между номинальной и реальной сертификацией особенно значителен. Номинальный сертификат (без выезда, за несколько дней) стоит 15 000–30 000 руб. и не имеет практической ценности. Реальное внедрение антикоррупционной системы с аудитом — принципиально иной продукт.
Малая и средняя компания (до 100 чел.)
Ограниченный круг должностей высокого риска, типовые бизнес-процессы
- Консультационное сопровождение: от 90 000 руб.
- Аудит органа по сертификации: от 90 000 руб.
- Итого: от 180 000 руб.
- Срок с нуля: 6–9 месяцев
- Рынок (реальное внедрение): от 100 000 руб.
Крупная компания или холдинг (от 100 чел.)
Разветвлённая структура, множество деловых партнёров и посредников, сложная оценка рисков
- Консультационное сопровождение: от 220 000 руб.
- Аудит органа по сертификации: от 200 000 руб.
- Итого: от 420 000 руб.
- Срок с нуля: 9–14 месяцев
- Рынок (реальное внедрение): от 300 000 руб.
Что увеличивает стоимость и сроки
Объём работы по ISO 37001 напрямую зависит от сложности коррупционных рисков организации: числа должностей высокого риска, количества деловых партнёров, требующих due diligence, числа юрисдикций, в которых работает компания, и наличия посредников в цепочке продаж. Компании, работающие в отраслях с традиционно высокими коррупционными рисками (строительство, добыча, фармацевтика), требуют более глубокой проработки оценки рисков.
Due diligence деловых партнёров: самый сложный элемент системы
Раздел 8.2 ISO 37001 — должная осмотрительность — вызывает наибольшие практические вопросы при внедрении. Стандарт требует, чтобы организация оценивала коррупционные риски, связанные с деловыми партнёрами, и принимала меры контроля пропорционально выявленным рискам. Это не означает проверку всех партнёров по одному сценарию.
Низкий риск
Стандартные поставщики типовых товаров и услуг без взаимодействия с государственными органами. Достаточно базовой проверки в открытых источниках и стандартных антикоррупционных оговорок в договоре.
Средний риск
Партнёры с доступом к государственным органам, посредники, агенты по продажам. Требуется более детальная проверка, оценка репутации, анализ структуры собственности, подписание антикоррупционного заявления.
Высокий риск
Консультанты с доступом к государственным решениям, партнёры в юрисдикциях с высоким уровнем коррупции, аффилированные с государственными структурами лица. Необходима углублённая проверка, включая независимые базы данных и, при необходимости, внешний due diligence.
Самый частый провал на аудите — «бумажный» due diligence
Аудиторы по ISO 37001 проверяют не наличие процедуры due diligence, а доказательства её применения к конкретным партнёрам. Типичная ситуация: процедура красиво описана в документе, но последняя реальная проверка партнёра проводилась при первоначальном заключении договора — пять лет назад. ISO 37001:2025 усилил требования к периодической переоценке деловых партнёров при изменении обстоятельств. Это один из первых вопросов на выездном аудите.
Нормативная база: международные и российские документы
- ISO 37001:2025 — актуальная редакция международного стандарта
- ISO 37001:2016 — предыдущая редакция, на основе которой выданы большинство действующих российских сертификатов
- ISO 37301:2021 — система менеджмента соответствия (комплаенс); часто внедряется совместно с ISO 37001
- Федеральный закон №273-ФЗ «О противодействии коррупции» — статья 13.3 об обязанности принимать меры по предупреждению коррупции
- Статья 19.28 КоАП РФ «Незаконное вознаграждение от имени юридического лица»
- Методические рекомендации Минтруда России по разработке и принятию организациями мер по предупреждению и противодействию коррупции
- UK Bribery Act 2010 — для компаний с британскими деловыми связями
- FCPA (Foreign Corrupt Practices Act) — для компаний с американскими деловыми связями
ISO 37001 и ISO 37301 (комплаенс): часто внедряются вместе
ISO 37301:2021 «Системы менеджмента соответствия» охватывает более широкий круг вопросов, чем ISO 37001: не только взяточничество, но и соответствие всему спектру регуляторных требований. Оба стандарта построены на High Level Structure, имеют общую логику и значительно перекрываются в части оценки рисков, обучения и внутреннего аудита. Совместное внедрение снижает общую стоимость и позволяет получить два сертификата при сопоставимых затратах с одним.
Вопросы руководителей и директоров по compliance
— ISO 37001 охватывает только взяточничество или всю коррупцию в целом?
Стандарт специализируется именно на взяточничестве — это прямо указано в его названии «Anti-bribery management systems». Смежные формы коррупции: мошенничество, картельные сговоры, отмывание денег, злоупотребление влиянием — ISO 37001 прямо не охватывает. Для более широкого управления комплаенс-рисками используется ISO 37301. На практике хорошо выстроенная система по ISO 37001 создаёт инфраструктуру контролей, которые препятствуют и другим формам нарушений — но сертификат ISO 37001 подтверждает только систему противодействия взяточничеству.
— У нас уже есть антикоррупционная политика и кодекс этики. Нужно ли что-то ещё для ISO 37001?
Антикоррупционная политика и кодекс этики — необходимые, но далеко не достаточные элементы. ISO 37001 требует системы: задокументированных процедур, функционирующих контролей, доказательств их применения, назначенного уполномоченного с реальными полномочиями, работающего канала информирования, регулярного обучения с записями, due diligence деловых партнёров с историей его применения и внутренних аудитов. Наличие хорошей политики при внедрении системы с нуля — это преимущество, которое сокращает работу на 1–2 месяца.
— Можем ли мы получить сертификат только для части организации?
Да. ISO 37001 допускает сертификацию части организации — например, конкретного юридического лица в группе компаний или определённого подразделения. При этом область применения системы чётко описывается в документации и отражается в сертификате. Это разумный подход для холдингов, которые хотят начать с наиболее рискованных или наиболее значимых для бизнеса единиц.
— Что происходит, если в период действия сертификата выявляется реальный коррупционный инцидент?
Это не является автоматическим основанием для отзыва сертификата. ISO 37001 — система управления, а не гарантия отсутствия инцидентов. Важно, как организация реагирует: инициирует расследование, документирует его результаты, применяет дисциплинарные меры, уведомляет регуляторов при необходимости и улучшает систему. Организация, которая правильно отреагировала на инцидент, может демонстрировать именно ту зрелость системы, которую требует стандарт. Аудиторы оценивают не отсутствие проблем, а качество управления ими.
— Насколько ISO 37001 защищает руководство лично?
Стандарт создаёт доказательную базу, а не юридический иммунитет. Статья 19.28 КоАП РФ предусматривает, что юридическое лицо освобождается от ответственности, если оно «предприняло все зависящие от него меры» для предотвращения правонарушения. Сертифицированная система ISO 37001 — весомое доказательство принятых мер. UK Bribery Act прямо указывает «adequate procedures» как основание для защиты организации. Для личной ответственности должностных лиц эффект иной: наличие системы свидетельствует об отсутствии умысла или халатности на уровне организации, что влияет на оценку действий конкретного лица в контексте системных мер.
Реестр Гарант: подход к внедрению антикоррупционных систем
Антикоррупционная система — один из немногих видов систем менеджмента, где провал между документацией и реальностью не просто снижает ценность сертификата, но и создаёт юридические риски. Организация с красивой политикой и пустыми реестрами подарков хуже защищена, чем организация без политики вообще: у первой есть задокументированные обязательства, которые она не выполняет.
Мы строим систему под реальную структуру рисков конкретной организации: оценка рисков проводится с участием руководителей продаж, закупок и финансового блока, а не заполняется по шаблону. Due diligence-процедуры разрабатываются с учётом реального портфеля деловых партнёров. Канал информирования настраивается так, чтобы он работал — с понятными для сотрудников инструкциями и задокументированной процедурой обработки сообщений.
Обсудить внедрение ISO 37001
Телефон: +7 920-898-17-18
WhatsApp и Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru
Первичная консультация бесплатна. Расскажите об отрасли, структуре компании и ключевых деловых партнёрах — оценим уровень коррупционных рисков и предложим план работ.
Рекомендуемые статьи по теме
