دليل العناية الواجبة بالأطراف الثالثة وفق ISO 37001: إدارة مخاطر الفساد من البداية إلى النهاية
ISO 37001 (نظام إدارة مكافحة الرشوة) يقدم إطاراً يساعد المؤسسات على تحديد مخاطر الرشوة والفساد بشكل منهجي وتقليلها ومراقبتها. يركز هذا الدليل بشكل خاص على العلاقات مع الأطراف الثالثة مثل الموردين والموزعين والاستشاريين والشراكات والجهات المشاركة في التبرعات أو الرعاية. الهدف هو توضيح دورة الاختيار القائم على المخاطر، التقييم قبل التعاقد، الضوابط أثناء العقد والمراقبة بعده من أجل تعزيز الامتثال والشفافية والمساءلة.
يغطي هذا الدليل عدة محاور أساسية مثل: تصنيف المخاطر ومعايير الفحص، آلية الموافقة على الهدايا والتبرعات والرعاية، خط الإبلاغ والسرية، خطوات التحقيق الداخلي، التدريب والمصادقة، هيكل العقوبات والانضباط، تقارير الإدارة ومؤشرات الأداء، بنود عقود سلسلة التوريد، أدلة التدقيق وأخيراً التحسين المستمر. كل محور يوضح كيفية تحويل السياسات إلى إجراءات عملية قابلة للتنفيذ والتدقيق.
ماذا ستستفيد من هذا الدليل؟
- منهجية موحدة ومرنة للعناية الواجبة بالأطراف الثالثة
- آليات موافقة قائمة على المخاطر (تشمل الهدايا والتبرعات والرعاية)
- خط إبلاغ يدعم السرية وحماية المبلغين
- خطوات تحقيق داخلي واضحة وعادلة
- برامج تدريب وتوعية مع مصادقة مكتوبة
- مصفوفة عقوبات وانضباط تضمن تطبيقاً متسقاً
- تقارير KPI ولوحات مؤشرات لدعم الإدارة
- بنود تعاقدية توضح التزامات الامتثال
- حلقة تحسين مستمرة عبر CAPA وتحليل الأسباب الجذرية
في النهاية، يساعد هذا الدليل على بناء منظومة متكاملة للامتثال مع الأطراف الثالثة متوافقة مع ISO 37001، قابلة للتدقيق وفعالة في الممارسة العملية.
تصنيف المخاطر ومعايير الفحص
يجب أن يستند فحص الأطراف الثالثة إلى منهجية قائمة على المخاطر. في المرحلة الأولى يتم تحليل عوامل مثل مخاطر الدولة، مخاطر القطاع، طبيعة المعاملة، هيكل الدفع، الملكية والوسطاء. الهدف هو تحديد عمق الفحص وكثافة الضوابط بشكل متناسب.
المعايير الأساسية:
- مخاطر الدولة والولاية القضائية: مؤشرات إدراك الفساد، القوائم السوداء، وجود الأشخاص السياسيين المكشوفين (PEP).
- القطاع/نموذج الأعمال: الاعتماد على المناقصات العامة أو الإجراءات الجمركية، حجم التعاملات النقدية.
- معايير المعاملة: معدلات العمولة أو الخصم، شروط الدفع غير المعتادة، استخدام وسطاء إضافيين.
- الملكية والشراكات: المستفيدون الفعليون (UBO)، هياكل الملكية المعقدة أو المخفية، الروابط مع PEP.
- السجلات السابقة: تقارير إعلامية، قضايا قانونية أو جنائية، مخالفات سابقة.
أدوات الفحص: قواعد بيانات الامتثال والعقوبات، مصادر مفتوحة، السجلات التجارية والوطنية. وفقاً للدرجة يتم تطبيق فحص أساسي، قياسي أو معمق.
مثال على التقييم
منخفض (0–3): عقد قياسي + فحص أساسي • متوسط (4–6): فحص موسع + موافقة إضافية • مرتفع (7–9): فحص معمق + موافقة الإدارة العليا
النتائج تحدد فئة المخاطر للطرف الثالث وعمق توثيق KYC/KYB (اعرف عميلك/اعرف عملك).
آلية الموافقة على الهدايا والتبرعات والرعاية
قد تزيد الهدايا أو التبرعات أو الرعايات من مخاطر الفساد. لذلك يجب تحديد حدود مالية، فئات محظورة، ومستويات موافقة مسبقة بشكل واضح. يتم تقييم كل طلب من حيث الغرض، التوقيت، القيمة والعلاقة.
مبادئ السياسة:
- الشفافية: الهدايا النقدية محظورة؛ يتم رفض الهدايا ذات القيمة المفرطة.
- المشروعية: يجب أن تكون التبرعات أو الرعايات متوافقة مع مبادئ المسؤولية الاجتماعية للمؤسسة.
- الموافقة المسبقة: أي طلب يتجاوز الحدود المالية يتطلب موافقة وحدة الامتثال والإدارة المختصة.
- التوثيق: يتم تسجيل جميع الموافقات والرفض في سجل مركزي للهدايا والتبرعات.
خطوات العملية: نموذج الطلب → مراجعة أولية للامتثال → وثائق إضافية عند الحاجة → الموافقة/الرفض → التسجيل والإفصاح الدوري.
خط الإبلاغ والسرية وحماية المبلغين
بموجب ISO 37001 يجب أن يكون لدى المؤسسة آلية إبلاغ متعددة القنوات ومجهولة للإبلاغ عن المخالفات. يجب أن يكون الخط متاحاً عبر الويب، الهاتف، البريد الإلكتروني على مدار الساعة ويدعم لغات متعددة.
مبادئ السرية:
- حماية البيانات: لا تتم مشاركة هوية المبلغ إلا وفقاً لمبدأ "الحاجة إلى المعرفة".
- حظر الانتقام: يحظى المبلغ حسن النية بالحماية من أي انتقام.
- التغذية الراجعة: يتم إبلاغ المبلغ بمستجدات القضية خلال فترة زمنية معقولة.
يتم تسجيل البلاغات ومراجعتها مبدئياً، وتؤدي الحالات الخطيرة إلى فتح تحقيق. كما يمكن لتحليل الاتجاهات أن يعمل كآلية إنذار مبكر لتحديد الأطراف عالية المخاطر.
خطوات التحقيق الداخلي
يجب أن تكون التحقيقات متناسبة مع خطورة الادعاء أو الانتهاك، بهدف الوصول إلى حقائق سريعة، عادلة وموثقة.
مسببات التحقيق: تقارير خط الإبلاغ، مدفوعات أو عمولات مشبوهة، روابط مع PEP، عدم الامتثال للعقوبات، أو تقارير إعلامية سلبية.
خطوات التنفيذ:
- تحديد النطاق والأدوار: تعيين قائد التحقيق وفريق يضم ممثلين من الشؤون القانونية والامتثال.
- جمع الأدلة: عقود، فواتير، سجلات دفع، رسائل إلكترونية، بيانات أطراف ثالثة.
- المقابلات: إجراء مقابلات منظمة مع الموظفين والأطراف الثالثة المعنية.
- التقييم والتقرير: تحليل النتائج، تحديد الانتهاك، والتوصية بالإجراءات.
- الإغلاق وCAPA: تنفيذ إجراءات تصحيحية/وقائية وتحديث السياسات.
تُدار التحقيقات وفق مبادئ الاستقلالية والسرية وسلامة الأدلة، وتتم مشاركة النتائج مع الإدارة وأحياناً الجهات الرقابية.
التدريب والمصادقة
إن الامتثال لمعيار ISO 37001 لا يتحقق من خلال السياسات فقط، بل يتطلب وعي الموظفين والأطراف الثالثة والتزامهم. لذلك فإن التدريب والمصادقة عناصر أساسية.
العناصر الرئيسية:
- التدريب الإلزامي: يجب أن يشارك جميع الموظفين المعنيين في برامج مكافحة الفساد بانتظام.
- التدريب حسب الدور: محتوى متخصص لفِرَق المشتريات والمبيعات والقانون والامتثال.
- تدريب الأطراف الثالثة: تزويد الموردين الأساسيين والوكلاء بمواد توعية مختصرة.
- المصادقة (Attestation): يقر الموظفون والأطراف الثالثة كتابياً بأنهم قرأوا السياسات ووافقوا عليها.
يجب حفظ سجلات التدريب كـأدلة تدقيق وتحديد جداول للتجديد (مثل مرة سنوياً).
هيكل العقوبات والانضباط
يتطلب برنامج الامتثال الفعّال وجود إجراءات عقابية واضحة ومتسقة عند حدوث الانتهاكات، مما يعزز الردع والعدالة.
مصفوفة الانضباط:
- تحذير: إنذارات شفهية أو كتابية للمخالفات البسيطة.
- إعادة التدريب: إلزام الموظف بحضور تدريب إضافي إذا كان الانتهاك بسبب نقص المعرفة.
- عقوبات أشد: الفصل، حرمان من المكافآت، أو إنهاء العقد في الانتهاكات الجسيمة أو المتكررة.
- تطبيق على الأطراف الثالثة: إنهاء العلاقة التعاقدية أو إدراج في قائمة سوداء.
كل إجراء تأديبي يجب أن يكون موثقاً ومتوافقاً مع القوانين السارية.
تقارير الإدارة ومؤشرات الأداء KPI
يجب تقديم أداء فحص الأطراف الثالثة للإدارة العليا بانتظام، مدعوماً بـمؤشرات أداء قابلة للقياس (KPI) لإظهار فعالية النظام بالأرقام.
أمثلة على مؤشرات KPI:
- عدد ونسبة الأطراف الثالثة التي تم فحصها
- توزيع الأطراف حسب فئة المخاطر (منخفضة، متوسطة، عالية)
- معدل إكمال التدريب
- نسبة توقيع إقرارات المصادقة
- عدد البلاغات والتحقيقات المفتوحة والمغلقة
- عدد الإجراءات التأديبية المطبقة
يتم إعداد هذه التقارير شهرياً أو ربع سنوياً وتُعرض عبر لوحات مؤشرات على الإدارة.
بنود عقود سلسلة التوريد
يجب أن تتضمن العقود مع الأطراف الثالثة التزامات مكافحة الفساد بشكل واضح، لتحديد مسؤوليات الطرف الآخر وحقوق المؤسسة في حالة الإخلال.
أمثلة على البنود:
- التزام الطرف الثالث بجميع القوانين المتعلقة بمكافحة الفساد ومتطلبات ISO 37001.
- اتباع سياسات المؤسسة بشأن الهدايا والتبرعات والرعاية.
- الوصول إلى خط الإبلاغ وعدم الانتقام من المبلغين.
- حق المؤسسة في طلب التدقيق والوثائق.
- حق المؤسسة في فسخ العقد فوراً عند حدوث أي انتهاك.
تشكل هذه البنود جزءاً من ثقافة الامتثال ويجب تعديلها عند الحاجة لتناسب طبيعة العلاقة.
أدلة التدقيق
وفقاً لمعيار ISO 37001، لا يكفي وجود السياسات والإجراءات فقط، بل يجب دعمها بـأدلة ملموسة تثبت فعالية فحص الأطراف الثالثة أثناء المراجعات.
أمثلة على الأدلة:
- تقارير تصنيف المخاطر ونتائج الفحص
- نماذج الموافقة على الهدايا/التبرعات/الرعايات وسجلاتها
- سجلات خط الإبلاغ وتقارير الحل
- تقارير التحقيق الداخلي ومحاضر المقابلات
- قوائم حضور التدريب ونماذج المصادقة
- قرارات وإجراءات الانضباط المطبقة
- بنود الامتثال المضافة إلى العقود وتقارير التدقيق
- جداول KPI وتقارير الإدارة الدورية
يجب أن تكون هذه الوثائق منظمة، متاحة وقابلة للتتبع لتسهيل عمليات المراجعة الداخلية والخارجية وإثبات الشفافية.
التحسين المستمر
يجب التعامل مع عملية فحص الأطراف الثالثة كعملية دورية وليست ثابتة. يضمن التحسين المستمر بقاء النظام مواكباً للمخاطر الجديدة والبيئة المتغيرة.
خطوات التحسين:
- المراجعة الدورية: تحديث معايير التصنيف وأدوات الفحص والقيم الحدية مرة واحدة على الأقل سنوياً.
- تحليل الأسباب الجذرية: التحقيق في الأسباب الأساسية وراء كل مخالفة.
- CAPA (إجراءات تصحيحية ووقائية): تخطيط وتنفيذ إجراءات لمعالجة ومنع تكرار المخاطر.
- دورة التغذية الراجعة: دمج مقترحات الموظفين والأطراف الثالثة ونتائج التدقيق في العملية.
- استخدام التكنولوجيا: دمج أدوات الامتثال الآلية ولوحات المراقبة وأنظمة الفحص الجديدة.
بهذا النهج، لا تقتصر المؤسسة على الامتثال فحسب، بل تعزز أيضاً سمعتها المؤسسية، كفاءتها التشغيلية وثقة أصحاب المصلحة.