ISO 37001, Tüm yolsuzlukla mücadele standartlarına hükmedecek standart artık hayatımızda

screenshot2016-02-16at8-08-19amTemel ilke ve uygulamalar ortak paydasında buluşmak kaydıyla şirketlerin risk yönetimi ihtiyaçları olgunluk seviyeleri, faaliyet alanları gibi değişkenleri etkin yönetebilmek için kendine özel bir uyum programı geliştirmesi gereğinin altını hep çizdik.

Bu riskler arasında en önemlisi, global arenada iş yaparken karşınıza en çok çıkacak olan, ulusal ve uluslararası kanunlara uyum riskleri bakımından sıranın en başında gelen ve tabi en büyük cezalar ve itibar kaybı ile sonuçlananı “Yolsuzluk ve Rüşvetle Mücadele”.

Yolsuzluk, sadece şirketlerin ilgili politikalarıyla değil tabi oldukları yasalara uyum önceliği ile yönetmek durumunda oldukları bir risk alanı. Bu da, birçok uluslararası sözleşme, yerel yasa ve endüstri kodu ile getirilmiş standart ile uyumlu olmak demek.

Yüzüklerin Efendisi sever dostlarım, ISO 37001 i “Tüm diğer yolsuzlukla mücadele standartlarına hakim olacak standart” olarak anmaya başladı bile

Bu yazıyı, uyum dünyasında bir yolsuzlukla mücadele programı standardının yokluğundan şikayetçi olan meslektaşlar ile getirilecek standardın şirketlerin “daha iyiyi yapma” gayretini ortadan kaldıracak bir ideal uygulama tanımı gibi algılanacağı endişesini taşıyanlar arasındaki tartışmanın argümanlarını bir kez daha gözden geçirmeniz ve en doğru kararı verebilmeniz için kaleme aldım.

Gelin görün ki, siz hangi tarafta olursanız olun, tüm standartlara hükmedecek o standart geldi bile.

Neden şimdi?

Bu soruya cevap vermeden önce uluslararası yolsuzlukla mücadele ortamına şekil veren kilometre taşlarını hatırlayalım:

  • Foreign Corrupt Practives Act (FCPA) – Amerikan Yurtdışı işlemlerde yolsuzlukla mücadele yasası
  • UK Bribery Act – Birleşik Krallık Yolsuzlukla Mücadele Yasası
  • OECD Convention on Combating Bribery of Foreign Public Officials in International Business Transactions – OECD Ticari İşlemlerde Yabancı Kamu Görevlilerine Verilen Rüşvetin Önlenmesi Sözleşmesi
  • United Nations Convention against Corruption (UNCAC) – Birleşmiş Milletler Yolsuzlukla Mücadele Sözleşmesi
  • European Anti-Corruption Conventions – Avrupa Yolsuzlukla Mücadele Sözleşmeleri
  • Brazilian Clean Company Act – Brezilya Temiz Şirket Yasası
  • Canadian Corruption of Foreign Public Officials Act (CFPOA) – Kanada Yurtdışı İşlemlerde Kamu Görevlisine Rüşvetin Engellenmesi Yasası
  • The Sapin II, Draft Bill for Transparency and Modernisation of the Economy – Fransız Şeffaflık ve Ekonominin Modernizasyonu Yasa Tasarısı

İçinizden bir ses size, bütün bu yasa ve anlaşmaların sizi neden ilgilendirdiğini soruyor olmalı.

Cevap basit… Tüm bu yasal düzenlemelerin ve sözleşmelerin ortak paydası o ülkenin vatandaşının yurt dışında (doğrudan veya aracılar üzerinden) rüşvet vermesini engellemeye yönelik olmaları. Yani eğer bir İngiliz veya Alman şirketi ile çalışıyorsanız sizin kendi ülkenizde uyguladığınız yolsuzlukla mücadele risk yönetimi programı veya kısaca “etik ve uyum programınız” artık iş yaptığınız şirket için bir sorumluluk haline geldi.

Bir Amerikan şirketini temsil ediyorsanız ve bu şirket bir ihracatçı ise Amerikan Ticaret Odası (American Chamber of Commerce) sadece o şirketin bir uyum programı olması ile yetinmeyip sizin de bir uyum programınız olmasını mecburi kılıyor ve bu programın varlığı ile etkinliği konusunda detaylı bir denetim yapma sorumluluğunu da Amerikalı ortağınıza bırakıyor.

Yani, bugünün dünyasında, yabancı iş ortaklarınızla ilişkilerinizi sağlıklı sürdürebilmek için onların hangi yerel hukuki riskleri yönettiklerini bilmek ve aynı kimliğe bürünmek zorundasınız.

Neden şimdi sorusunun birçok mantıklı cevabı olabilir ancak bunların başında “Yolsuzlukla mücadele, global şirketlerin kurulu oldukları veya halka açık oldukları ülkelerin uluslararası rekabet öncelikleri ve hukuki sorumlulukları haline geldi” önermesi var.

Uluslararası yasal mimarinin olgunlaşması ve kanun yapıcıların yaptırım gücünün artmış olması ise standardizasyon gereğinin ardındaki önemli bir diğer itici güç.

Sonuç olarak yolsuzlukla mücadele dünyası sizin sandığınızdan çok daha hızlı dönüyor ve sizi hukuken doğrudan etkilemediğini düşündüğünüz her yasa iş yaptığınız yabancı ortaklarınız üzerindeki baskısını artırıyor.

Bu gelişmelerin ardında ahlaki yönelimler olduğunu lütfen düşünmeyin. Çerçevesi ülkelerin dış politikaları, dış ticarette adil rekabet zemini arayışları yani global siyaset ve ticaret dinamikleri ile belirlenmiş yeni bir oyun alanı içerisindesiniz. Bu yeni dünyanın kuralları ile ne kadar geç tanışırsanız işlerinizi sürdürmeniz ve geliştirmeniz o kadar zorlaşacak gibi gözüküyor.

Bu küçük uyarıdan sonra gelin ISO 37001 incelememizi sürdürelim…

Nasıl bir ekip tarafından hazırlandı?

İş dünyasının karşılaştığı düzenlemeler ve standardizasyon araçları karşısında ilk, ve çoğunlukla haklı, tepkisi bunları “işleri yavaşlatacak yeni bir bürokratik engel” olarak görmek yönünde oluyor.

Büyük çoğunluğu profesyonellerden oluşan, 28 ülkeden 50 yi aşkın uzmanın iki senelik çalışmasının sonucu olan ISO 37001 için yapılan tanım ise cesaret verici: “İş dünyası tarafından, iş dünyası ve her büyüklükteki şirket için hazırlanmış bir standart”

Standarda baktığım zaman, ISO 37001’in, yakın gelecekte tedarik zinciri yolsuzluk risk değerlendirme anketlerinin yerini almasına şaşırmayacağımı söylemeliyim. Uluslararası geçerliği olan ve yerinde denetlenen bir standart varken hangi global şirket yerel risklerini kendi anketleri üzerinden yönetmek istesin ki?

Yeni olan nedir?

Eğer bu soruyu soran Amerika, İngiltere, Almanya, Kanada veya Fransa’da kurulu bir şirketin etik ve uyum yöneticisi ise cevap basit: “Yeni standart zaten yapmadığınız veya bilmediğiniz hiçbir şey getirmiyor”. Ancak yurt dışında yolsuzlukla mücadele konusunda sert hukuki önlemler almış, uzman mahkemelerini kurmuş ve yaptırımları uygulayan, gelişmiş bir yargı sistemi olan bir ülkede değilseniz ve yasalar sizi zaten bu sistemleri kurmaya ve doğru çalıştırmaya yöneltmemişse standardın size katacakları var.

ISO 37001 ile tanımlanan sorumlulukların etki alanı nedir?

Bir şirket sizden ISO 37001 sertifikası istiyorsa emin olun ya kendisinde de vardır veya etik ve uyum programları zaten dünya standardındadır. Zira üçüncü taraflarla ilgili risk değerlendirmesi (Third Party Due Dilligence) ISO 37001 ile gelen sorumlulukların başında geliyor. Şirketiniz bu denklemin iki tarafında da olduğunu unutmamalısınız. Yani global şirkete karşı, bir tedarikçi olarak, ne kadar sorumluysanız kendi tedarik zinciri risk yönetiminizi de aynı titizlikle yapmak durumundasınız.

Bu temel ilke zaten etkin bir etik ve uyum programının ruhunu oluşturuyor. Siz kendinizi nasıl bir kurumsal vatandaş olarak tanımlıyorsanız aynı tanıma uygun tedarikçilerle çalışmak da sizin sorumluluğunuz. Standart bu ve benzer sorumlulukları da tanımlıyor.

İşte birkaç örnek:

·     Risklerin tespitinde gerekli özenin gösterilmesi (Due dilligence) tespite konu risklerin önemine ve ağırlığına uygun yapılmak zorundadır. Bunun anlamı, etik ve uyum yönetimi programınızın risklerin değerlendirilmesi, ölçülmesi, derecelendirilmesi ve haritalanması ile ilgili bir altyapıya sahip olmalıdır. Doğru ölçemediğinizi doğru yönetemezsiniz. Her paydaşınızla ilgili risk tespitiniz aynı olamaz. Örneğin tedarikçiniz ile müşterinizin yolsuzluk risklerini aynı araçla yönetemezsiniz. Müşterim neden yolsuzluk riski getirsin demeyin. Banka gibi yüksek regülasyonlara tabi bir şirketseniz, kamu ile iş yapıyorsanız veya kara para aklama operasyonunda hizmetine sıklıkla başvurulan riskli sektörlerde iseniz “Müşterini tanı” (Know your customer) ilkesi risklerinizi yönetmekteki dominant faktör olabilir.

  • Kırmızı bayrak; Şirketler risk tespitlerinde buz dağının üzerinde kalan konulara dikkat ederken bir çok küçük göstergeyi gözden kaçırıyor olabilirler. Örneğin rüşvet soruşturması geçirmiş bir şirket hemen radarlarınıza takılırken şirketin sicil kaydına dair kayıtlardaki tutarsızlıklar dikkatinizi çekmiyorsa veya imza sirküleri gibi şirket iç kontrollerine aykırılığın ortaya çıkartılması ile ilgili denetim mekanizmalarının varlığı ve işlevselliğini değerlendirmiyorsanız standardın gereğini karşılamıyor olabilirsiniz.
  • Yönetişim yapılanması: “Yönetim kurulu veya yöneticiler arasında özellikle şirketin müşterileri arasındaki bir kamu kurumundan veya bu kamu kurumları üzerinde baskı oluşturabilecek yetkiyle çalışmış bir kamu görevlisi var mıdır?” sorusu aklınıza gelmiyorsa risk yönetiminizi layıkıyla yaptığınızı iddia etmek zor olacaktır.

Standart, almanız gereken önlemleri ve uygulamanız gereken yöntemleri sıralamıyor; buna mukabil risklerinizi “makul ve orantılı” yöntemlerle ölçüp yöneten bir mekanizmanın varlığını sorguluyor. Elbette neyin makul olduğu tanımı hep bir tartışma konusu olarak kalacaktır; ancak ticari ilişki içindeki her şirket aslında hukuki bir riski de paylaşıyor ve birlikte yönetiyor demektir. Bu ilişki ve zamanla gelişecek karşılıklı talepler endüstri normlarını oluşturacak ve makul olanın tarifini kolaylaştıracaktır.

Nasıl denetlenecek?

Yolsuzluk, etik ve uyum programı ile yönetilen en önemli risk. Bu programlarla ilgili hiçbir şey öğrenmediysek en azından herkese uyan bir program şablonu olamayacağını öğrendik. Etik ve uyum programları şirketin ne ürettiği ile değil nasıl ürettiği ve kim olduğu ile ilgilidir. İlaveten, bir önceki sorunun cevabında geçen “makul ve orantılı” tanımı bile 37001 denetimini ISO tarafından hazırlanmış diğer tüm standartların denetiminden daha zor hale getiriyor.  Bir şirkete özel riskin yönetim yönteminin standardı karşıladığı nasıl anlaşılacak?

Bu soru altındaki bir diğer detay ise şudur: Etik ve uyum yöneticisi, herhangi bir uyumsuzluk durumundaki mütalaasını, tabi olunan kanunlar, şirketin yönetmek durumunda olduğu riskler, şirket kültürü, iş yapılan bölgenin sosyal yapısı ve kültürü, ortaya çıkan uyumsuzluğun dinamikleri, şirket politika ve prosedürleri gibi bir çok kriteri inceledikten ve yeterli bilgi ile donandıktan sonra verir. Dolayısıyla verdiği mütalaa veya kararın ileride hatalı çıkması o andaki kararın yanlış olduğu anlamına gelmeyebilir. Yani neyin makul olduğu kadar verilen kararın doğruluğu da içeriden bakan ve dışarıdan bakan göz için sübjektif olabilir.

Örneğin yöneticiler ve çalışanların aynı içerikle ve aynı ortamda yolsuzlukla mücadele eğitimi alması veya almaması bile birçok meslektaşın hala tartıştığı bir konu. Dahası, işinde uzman bir uyum yöneticisi için bile sektör değiştirdiğinde yeni şirketinin dinamiklerini öğrenmek ve kararlarını bunları göz önünde bulundurarak vermek bir süreç gerektirirken hem meslek hem sektör tecrübesi buna yeterli olamayacak bir denetçinin vereceği görüş ne derece adil olabilir?

İki kere ikinin her zaman dört etmediği bir işlemde sonucun etkinliğini değerlendirecek mesleki, sektörel ve hukuki bilgi ile donanmış denetçilerin yetişmesi mümkün olacak mı?

Size düşen nedir?

Yabancı iş ortaklarınızın ilgili taleplerini ciddiye almak yerine gönderdikleri etik kodunu imzalayıp unutmak refleksine sahip bir ticaret pratiğini yaşıyorsanız o zaman kolları sıvamanızın zamanı geldi demektir.

Sertifikasyon ve denetleme süreçlerinde ortaya çıkacak “yerel çözüm üreten” danışman firmalarla karşılaşacaksınız elbette ama bu konu diğer kodlara benzemiyor. Yabancı iş ortaklarınız üzerindeki hukuki baskı o kadar büyük ki içi doldurulmamış ve kurum kültürü haline gelmemiş bir sertifikanın fitili kısa bir bomba olduğunu fark ettiğinizde çok geç kalmış olabilirsiniz.

Benim vardığım sonuç, özellikle bir şirketin uyum hayatını kaotik hale getirebilecek kadar fazla kesişim kümesi olan, hukuka uygunluk (regulatory compliance) alanındaki risklerin etkin yönetimine destek olabilecek, tüm standartlara hakim olacak bir standarda ihtiyaç duyulduğu yönünde.

Bunun da ötesinde, özellikle tedarik zincirinde yolsuzlukla mücadele ve üçüncü tarafların risklerinin değerlendirilmesinde çok faydalı bir denetim aracı ile karşı karşıya olduğumuzu düşünüyorum.

Elbette düğmeye basıldığı gün yolsuzluk risklerinin yönetimi alanındaki tüm gri alanlar ortadan kalmayacak veya su kaçıran tüm delikler tıkanmış olmayacak. Bir standart içinde bile olsak öğrenme ve gelişme süreci hep devam edecek.

Etik ve uyum yöneticisi, tasarladığı ve/veya yönettiği programın en temel özelliğinin sürekli öğrenmek, gelişmek ve adapte olmak olduğunu bilir. Dolayısıyla, standardın da öğrenip gelişecek bir dinamizmde olmasını yadırgamayacaktır.

ISO 37001, Tüm yolsuzlukla mücadele standartlarına hükmedecek standart artık hayatımızda