GH GambleHub

Антикорупційні стандарти та ISO 37001

1) Вступ: навіщо ISO 37001

Корупційні ризики в iGaming/фінтехе посилюються складними ланцюжками постачальників, афіліатами, ліцензіями та маркетингом на різних ринках. ISO 37001 (Anti-Bribery Management System, ABMS) - міжнародний стандарт, який задає управлінську систему попередження, виявлення та реагування на підкуп/вимагання. Його мета - знизити ймовірність інцидентів і довести регуляторам/партнерам, що компанія управляє ризиками системно.

2) Ключові принципи ABMS

Тон зверху (tone at the top): рада директорів/топ-менеджмент приймають і демонструють нульову терпимість.
Підхід, заснований на ризиках: ідентифікація, оцінка, план обробки, пріоритизація областей з високою експозицією.
Пропорційні заходи: контролі відповідають масштабу і профілю ризику.
Незалежність функції комплаєнсу: достатньо повноважень і ресурсів.
Безперервне поліпшення: моніторинг, аудити, коригувальні дії.

3) Область охоплення корупційних ризиків

Прямий/непрямий підкуп, комерційний підкуп, «мастило» (facilitation payments, де заборонено), відкати.
Подарунки, гостинність, спонсорство, благодійність - як канали прихованого підкупу.
Афіліати/агенти/посередники, консультанти з ліцензування, маркетингові партнери.
Держсектор: ліцензії, перевірки, дозволи, держпартнерства, державні казино/лотереї.
Конфлікт інтересів та інсайдерські домовленості.
Злиття і поглинання (M&A) і спільні підприємства (JV).

4) Каркас системи: що вимагає ISO 37001 на практиці

1. Політика та кодекс антикорупції + політика подарунків/конфліктів інтересів/донатів та спонсорства.
2. Роль «Антикорупційного офіцера» (ABCO) і розподіл відповідальності.
3. Оцінка ризиків за бізнес-лініями, географіями, типами контрагентів.
4. Due diligence третіх сторін (risk-based) з санкційним і судовим скринінгом.
5. Контроль транзакцій і моніторинг «червоних прапорів».
6. Навчання та комунікації для співробітників і партнерів.
7. Лінії інформаторів і заборона репресій (пов'язано з політикою інформаторів).
8. Розслідування, дисциплінарні заходи та ремедіація.
9. Внутрішній аудит/моніторинг, менеджмент-рев'ю та CAPA (Corrective and Preventive Actions).
10. Підготовка до сертифікації зовнішнім органом.

5) Матриця ризиків (приклад)

РизикДжерелоЙмовірністьВпливРівеньКонтролі
Відкати афіліатамВисокі CPA/RevShare, непрозорі договориСередовищеВисокийВисокийСтандартизовані договори, прозора звітність, аудит афіліатів, заборона кешу
Підкуп при ліцензуванніВзаємодія з держорганамиНизький/СередовищеДуже високийВисокийПравило «четвертих очей», журнал контактів, заборона «посередників без прозорості»
Подарунки VIP-партнерамМаркетинг/івентиСередовищеСередовищеСередовищеЛіміти; попереднє узгодження; публічний реєстр подарунків
Підкуп через благодійністьДонатиНизький/СередовищеВисокийСередовищеДью-ділідженс одержувача, заборона «пов'язаних» фондів, прозорі звіти
Конфлікт інтересів у закупівляхЗакупівліСередовищеСередовище/ВисокийВисокийДекларації інтересів, ротація комітетів, тендерні процедури

6) Політика подарунків, гостинності та витрат (G&H)

Ліміти: грошові еквіваленти і «натура» (наприклад, до X EUR на людину/подію; річний ліміт).
Заборона готівки, подарункових карток, розкішних поїздок без службового обґрунтування.
Узгодження: всі перевищили поріг - через ABCO; обов'язковий запис у реєстрі.
Держсектор: більш суворі правила/повна заборона.
Прозорість: реєстри подарунків та гостинності доступні для внутрішнього аудиту.

7) Конфлікт інтересів

Щорічна декларація у всіх керівників/закупівель/BD/маркетингу/юристів.
Подієва декларація при наймі/переході в нову роль/запуску проекту.
Заходи: рецузал (самовідвід), ротація, заборона обслуговування «своїх» постачальників.

8) Due diligence третіх сторін (особливо афіліати і посередники)

Скринінг: санкції, PEP, правові кейси, негативні ЗМІ, бенефіціари.
Анкета та підтверджуючі документи: реєстрація, ліцензії, податковий статус, політика антикорупції, кодекс.
Договірні зобов'язання: антикорупційне застереження, право аудиту, заборона суб-посередників без узгодження, розрив при порушенні.
Ризик-градація: KYC-рівні контрагентів (низький/середній/високий), частота переглядів (наприклад, щорічно для високого ризику).
Платіжні ознаки: заборона оплат на офшорні/особисті рахунки, обов'язковий інвойс/акти.

9) Червоні прапори (операційні індикатори)

«Консультант» без явної експертизи, вимагає готівку/високу комісію, наполягає на «швидких результатах».
Прохання розділити платіж або відправити кошти на сторонні рахунки.
Наполягання на афіліатах/агентах «без імені» та звітності.
Виключення конкуренції в тендерах під надуманим приводом.
Активність у країнах з високою корупційною експозицією без посилених контролів.

10) Навчання та комунікації

Щорічне обов'язкове навчання + інтерактивні кейси (G&H, держоргани, афіліати, M&A).
Onboarding-модуль для нових співробітників і «освіжаючі» тести для high-risk ролей.
Комунікації зверху: регулярні листи від СЕО/борда, внутрішня сторінка ABMS, FAQ.

11) Лінії інформаторів і розслідування

Анонімний канал 24/7, заборона репресій, SLA підтвердження і відповідей (див. окрему політику інформаторів).
Legal hold і консервація доказів, незалежна команда розслідування.
Дисциплінарні заходи аж до звільнення/розірвання контрактів; у важких випадках - звернення до правоохоронців.

12) Моніторинг, аудит та звітність

KPI ABMS: покриття навчанням, кількість/частка закритих кейсів, час реакції, частка третіх сторін з пройденим DD, результати тестів дотримання G&H.
Внутрішні аудити за планом ризику (щокварталу/щороку).
Management Review (борд): мінімум раз на рік - огляд ризиків, інцидентів, CAPA, рішень щодо ресурсів.
Безперервне поліпшення: коригування лімітів, оновлення матриці ризиків, нові контролі.

13) Інтеграція з iGaming/фінтех-процесами

Афіліати та маркетинг: жорстка верифікація, прозора звітність, аудит сіток і джерел трафіку.
Ліцензування та регуляторні взаємодії: протокол зустрічей, правило «четвертих очей», заборона подарунків чиновникам.
Платіжні партнери/PSP: антикорупційні застереження в договорах, право аудиту, заборона посередників без узгодження.
Постачальники ігор/студії: контролі за винагородами, прозорі знижки/ребейти, виключення «сірих» домовленостей.
M&A/JV: антикорупційний due diligence цілі, інтеграційний план по ABMS.

14) Дорожня карта впровадження та сертифікації (6-9 місяців)

Етап 0 - Діагностика (0-4 тижні): Gap-аналіз проти ISO 37001, карта процесів, матриця ризиків, план проекту, призначення ABCO.
Етап 1 - Політики та дизайн контролів (1-2 місяць): Антикорупційна політика, G&H, Конфлікти інтересів, Договірні шаблони, Процедури DD, Розслідувань та Інформаторів.
Етап 2 - Впровадження та навчання (2-4 місяць): Реєстр подарунків, реєстр контактів з держорганами, запуск DD-процесу, навчання, дашборд KPI.
Етап 3 - Моніторинг та аудит (4-6 місяць): Пілотні перевірки, тест кейсів, внутрішній аудит ABMS, CAPA.
Етап 4 - Сертифікація (6-9 місяць): Предаудит, потім Stage 1/Stage 2 у зовнішнього органу сертифікації; випуск сертифіката при успішному проходженні.
Після - підтримка: щорічний наглядовий аудит, перегляд ризиків і KPI.

15) Матриця контролів (спрощено)

КонтрольПризначенняДокази
Політика АБМС і G&HНормативна базаЗатверджені документи, реєстри, комунікації
Реєстр подарунків/контактівПрозорістьЗаписи, звіти, вибіркові перевірки
DD третіх сторінБар'єр для посередників-порушниківСкринінги, анкети, санкційні звіти, договірні застереження
НавчанняОбізнаністьЛоги проходження, тести
Канали інформаторівРаннє виявленняЛоги, звіти, SLA
Розслідування та дисциплінаВідплата за порушенняКейс-файли, CAPA
Аудити та MRПоліпшенняЗвіти аудиту, протоколи MR, метрики

16) RACI по ABMS

ОбластьRACI
Політики/оновленняGRC/LegalCEO/BoardHR, SecurityВсе
Реєстр подарунківDepartment LeadsABCOFinanceInternal Audit
Due diligence 3PProcurement/LegalABCOBusiness OwnersFinance
НавчанняHR/L&DABCOLegal, ManagersAll Employees
Лінії інформаторівComplianceABCOSecurity, HRBoard
РозслідуванняInvestigationsGC/ABCOHR, SecurityBoard
Аудит/моніторингInternal AuditBoard Audit Com. ABCO, GRCExec

17) Шаблонні застереження (фрагменти)

Антикорупційне застереження в договорі: "Сторони підтверджують дотримання застосовних законів про протидію підкупу... порушення є суттєвим і дає право на негайне розірвання".
Подарунки та гостинність: "Подарунки/розваги понад ліміти або будь-яка форма платежу готівкою заборонені. Будь-які винятки підлягають попередньому письмовому погодженню з ABCO".
Посередники/афіліати: "Заборонено залучення суб-посередників без письмової згоди; Сторона надає доступ до документів для вибіркового аудиту".
Повідомлення про порушення: «Компанія забезпечує конфіденційні канали і забороняє будь-які репресії щодо сумлінних інформаторів».

18) Часті помилки і як їх уникнути

«Політики на папері» без реєстрів та моніторингу. Рішення: дашборд KPI, квартальні перевірки.
Відсутність DD для афіліатів/агентів. Рішення: стандартні анкети, санкційний скринінг, аудіруемие звіти.
Немає єдиного власника ABMS. Рішення: призначити ABCO з мандатом і ресурсами.
Генеральні «нуль лімітів» для подарунків. Рішення: розумні ліміти + винятки через комітет.
Ігнор «червоних прапорів». Рішення: автоматизація алертів і ескалація по SLA.

19) Пакет артефактів (тримати в репозиторії)

Політика АБМС, Політика G&H, Політика конфліктів інтересів.
Шаблони договірних антикорупційних застережень.
Реєстри подарунків/гостинності та контактів з держорганами.
Процедура Due Diligence + форми і чек-листи.
План навчання + контент курсів/тести.
Процедура розслідувань + Runbook інформаторів.
План аудиту, звіти внутрішнього аудиту, CAPA.
Матриця ризиків і Control Matrix (ABMS ↔ ISO 37001).

Висновок

ISO 37001 - це не тільки сертифікат, а стійкий управлінський контур: ризики → політики → due diligence → навчання → моніторинг → розслідування → поліпшення. Для iGaming/фінтех-компанії він дисциплінує роботу з афіліатами, ліцензуванням і маркетингом, знижує ймовірність інцидентів і підвищує довіру регуляторів і партнерів. Почніть з оцінки ризиків і базових політик, потім - впровадження реєстрів і DD, навчання і внутрішній аудит; після «обкатки» процесів виходьте на сертифікацію.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.