ISO 37001 se bavi korupcijom i podmićivanjem. Ali prevara je širi pojam - i do sada nije imala svoj standard. ISO 37003:2025 to menja.
Kada pričamo o integritetu organizacija, obično mislimo na korupciju. ISO 37001, standard za sisteme upravljanja anti-korupcijom, postoji od 2016. godine i mnoge organizacije u regionu ga već poznaju – neke ga i primenjuju.
Ali korupcija je samo jedan oblik nečasnog ponašanja. Prevara je širi, kompleksniji i često teže uočljiv problem.
Pronevera sredstava. Falsifikovanje dokumentacije. Manipulacija nabavkama. Lažno prikazivanje rezultata. Prevara od strane zaposlenih, prevara od strane poslovnih partnera, ili – što je možda najosetljivija tema – prevara od strane same organizacije prema trećim licima.
Do maja 2025. godine, nije postojao međunarodni standard koji bi se sistematski bavio upravljanjem rizikom od prevara. Postojali su lokalni okviri, industrijske prakse i regulatorna pravila, ali jedinstven, globalno priznat vodič — nije postojao.
ISO 37003:2025 popunjava tu prazninu.
Šta je ISO 37003?
ISO 37003 pruža smernice za razvoj, implementaciju i održavanje sistema za kontrolu prevara – Fraud Control Management System (FCMS). Razvijen je od strane ISO/TC 309, tehničkog komiteta zaduženog za upravljanje organizacijama, istog komiteta koji stoji iza ISO 37000 (upravljanje organizacijom) i ISO 37002 (whistleblowing).
Važna napomena odmah na početku – ISO 37003 nije namenjen za klasičnu sertifikaciju. To je standard tipa B, što znači da daje smernice, ne zahteve. Organizacija ne može da se sertifikuje prema ISO 37003 onako kako može prema ISO 37001. Ali to ne umanjuje njegovu vrednost – naprotiv, čini ga fleksibilnijim i pristupačnijim za organizacije koje žele da izgrade sistem kontrole prevara bez pritiska formalne sertifikacije.
Četiri stuba kontrole prevara
Standard je organizovan oko četiri operativna stuba koji pokrivaju celokupan životni ciklus rizika od prevare:
Prevencija. Najbolja prevara je ona koja se nikada nije desila. Standard zahteva da organizacija uspostavi kontrole koje otežavaju ili onemogućavaju prevarno ponašanje – od razdvajanja dužnosti u finansijskim procesima, preko kontrole pristupa osetljivim sistemima, do kontinuirane edukacije zaposlenih o prepoznavanju rizika. Ključni element prevencije je ono što standard naziva “okvirom integriteta” – kultura organizacije u kojoj se nečasno ponašanje ne toleriše, a etično ponašanje se aktivno podstiče.
Detekcija. Koliko god kontrole bile dobre, neke prevare će proći. Standard zato zahteva mehanizme za otkrivanje – od internih revizija i analitike podataka, do kanala za prijavu nepravilnosti. Ovde standard eksplicitno referencira whistleblowing kao ključni mehanizam, oslanjajući se na ISO 37002 koji detaljno obrađuje sisteme za upravljanje prijavama nepravilnosti.
Posebno zanimljiv koncept koji standard uvodi je “pressure testing” – proaktivno testiranje operativne efikasnosti internih kontrola simuliranjem prevarnih transakcija. Zamislite to kao “penetration testing” za finansijske procese – proveravate da li vaše kontrole zaista rade, pre nego što to proveri neko sa lošim namerama.
Odgovor. Kada se prevara otkrije, vreme je kritičan faktor. Standard daje smernice za strukturirani odgovor – od zaštite digitalnih dokaza, preko sprovođenja istrage, do minimizacije štete po reputaciju organizacije. Standard definiše digitalnu evidenciju i njeno očuvanje, oslanjajući se na ISO/IEC 27037 za forenzičko upravljanje digitalnim dokazima.
Kontinualno poboljšanje. Svaki incident prevare je lekcija. Standard zahteva da organizacija analizira uzroke, proceni efikasnost postojećih kontrola, i primeni poboljšanja. Ovo nije jednokratna vežba – to je ciklus koji se ponavlja i prilagođava novim pretnjama.
Šta je novo i neočekivano u ovom standardu?
Nekoliko stvari izdvaja ISO 37003 od klasičnih anti-fraud okvira:
AI-enabled fraud. Standard eksplicitno prepoznaje prevare omogućene veštačkom inteligencijom kao specifičnu kategoriju. U definicijama (tačka 3.25) uvodi pojam “technology-enabled fraud” koji uključuje prevare koje ne bi bile moguće bez informacionih tehnologija – uključujući prevare pomoću AI sistema. Deepfake video pozivi, AI-generisani phishing emailovi, automatizovana manipulacija finansijskih podataka – standard prepoznaje da je ovo rastuća pretnja koja zahteva specifične kontrole.
Prevara OD organizacije. Većina anti-fraud okvira fokusira se na prevare PROTIV organizacije. ISO 37003 izričito pokriva i prevare koje organizacija vrši prema trećim licima – klijentima, partnerima, državnim institucijama. Ovo je hrabar potez koji postavlja standard iznad korporativnog samozaštitnog narativa.
Sukob interesa. Standard definiše sukob interesa (tačka 3.13) i zahteva da organizacija ima mehanizme za prepoznavanje i upravljanje situacijama gde lični ili organizacioni interesi mogu da kompromituju nepristrasnost u odlučivanju.
Veza sa ISO 37001 – zašto su oba potrebna
ISO 37001 se bavi podmićivanjem i korupcijom – davanjem ili primanjem mita, nepropisnim poklonima, korišćenjem posrednika za koruptivne svrhe. To je specifičan, jasno definisan problem.
Prevara je širi pojam. Zaposleni koji falsifikuje putne naloge ne prima mito – ali vrši prevaru. Dobavljač koji isporučuje robu lošijeg kvaliteta od ugovorene – to nije korupcija, ali jeste prevara. Kompanija koja prikazuje lažne finansijske rezultate investitorima – to nije podmićivanje, ali jeste prevara koja može da uništi živote.
ISO 37001 i ISO 37003 zajedno pokrivaju dve strane istog problema – integritet organizacije. Dodajte tome ISO 37301 za upravljanje usklađenošću i ISO 37002 za whistleblowing, i dobijate kompletnu “ISO 37000 porodicu” standarda za odgovorno upravljanje:
- ISO 37000 – Upravljanje organizacijom (governance).
- ISO 37001 – Anti-korupcija (namenjen za sertifikaciju).
- ISO 37002 – Whistleblowing.
- ISO 37003 – Kontrola prevara.
- ISO 37301 – Upravljanje usklađenošću (namenjen za sertifikaciju).
Ovo nije slučajnost – ovi standardi su dizajnirani da rade zajedno, sa ISO/TC 309 kao zajedničkim tehničkim komitetom.
Primenjivost u regionu – zašto je ovo relevantno
Zemlje Jugoistočne Evrope prolaze kroz period intenzivnih reformi u oblasti upravljanja javnim finansijama, javnih nabavki i korporativnog upravljanja. EU insistira na jačanju institucionalnog integriteta kao preduslovu za napredovanje u procesu pristupanja.
ISO 37003 nudi konkretan, praktičan okvir koji organizacije mogu da primene – bez čekanja na regulativu, bez zavisnosti od političke volje, i bez potrebe za formalnom sertifikacijom. Javna preduzeća, državne agencije, lokalne uprave, ali i privatne kompanije koje žele da pokažu ozbiljnost u upravljanju rizikom od prevara – sve one mogu da imaju koristi od ovog standarda.
Posebno vredan aspekt za region je pristup whistleblowingu. U kulturama gde prijavljivanje nepravilnosti još uvek nosi stigmu, standard kroz vezu sa ISO 37002 nudi okvir za uspostavljanje bezbednih, poverljivih i anonimnih kanala za prijavu – ne kao formalnost, već kao funkcionalan mehanizam zaštite.
Tri koraka koja možete preduzeti već danas
- Prvo – napravite inventar procesa u vašoj organizaciji koji su najranjiviji na prevaru. Finansije, nabavke, upravljanje zalihama, odobravanje isplata — počnite od oblasti gde novac menja ruke.
- Drugo – proverite da li imate funkcionalan kanal za prijavu nepravilnosti. Ne formalni, već stvarni – kanal koji zaposleni zaista koriste jer veruju da će prijava biti ozbiljno razmotrena i da neće biti izloženi odmazdi.
- Treće – razmotrite “pressure testing” vaših ključnih kontrola. Koliko bi bilo lako da neko napravi lažnu fakturu koja bi prošla vaš sistem odobrenja? Ako ne znate odgovor na ovo pitanje – vreme je da ga saznate pre nego što to neko iskoristi.
Prevara nije pitanje “da li” – već “kada.”
Nijedan sistem ne može da eliminiše rizik od prevare. Ali sistem koji prepoznaje rizike, uspostavlja kontrole, omogućava detekciju i strukturirano reaguje – taj sistem dramatično smanjuje verovatnoću i uticaj prevarnih događaja.
ISO 37003 vam daje mapu za izgradnju takvog sistema. Ostatak je na vama.