La norma ISO 37001 – strumento operativo per identificare e prevenire i rischi di corruzione per le organizzazioni

Secondo un recente studio, pubblicato dal gruppo dei Verdi europei, basato sulle analisi condotte dalla ONG americana RAND per il parlamento europeo, in termini assoluti è l’Italia il Paese con il più alto livello di corruzione in Europa. Ogni anno perdiamo infatti 236,8 miliardi di ricchezza, circa il 13 per cento del prodotto interno lordo, pari a 3.903 euro per abitante. La cifra della corruzione, già impressionante di per se, è due volte più alta di quella della Francia, pari a 120 miliardi di euro e al 6 per cento del PIL e di quella della Germania, dove la corruzione costa 104 miliardi di euro (il 4 per cento del PIL).

Queste cifre, relative al solo panorama europeo, dimostrano la necessità di intervento e di presa di posizione, sia da parte delle autorità governative sia da parte delle organizzazioni stesse. Proprio da questa consapevolezza, è nata la norma ISO 37001 che si pone come un approccio globalmente accettato per la conformità anti-corruzione e rappresenta un passo significativo nella lotta al fenomeno corruttivo a livello globale.

Le organizzazioni possono utilizzare questa nuova certificazione come uno strumento per testimoniare il loro impegno nelle attività di conformità e nella consapevolezza del rischio corruzione. Attraverso l’implementazione della ISO 37001 è possibile andare oltre il rispetto dei requisiti minimi legali e adottare un approccio sistemico rivolto alla prevenzione e al contrasto della corruzione.

Come nasce la norma ISO 37001

Dopo tre lunghi anni di lavori, il 15 ottobre del 2016 l’ISO ha pubblicato l’Anti-Bribery Management System (“Sistema di Gestione Anticorruzione”) che detta specifici riferimenti in materia di prevenzione alla corruzione. Si tratta di una norma certificabile, che si propone come primo standard internazionale per la costruzione dei Sistemi di Gestione Anticorruzione.

Tali sistemi hanno l’obiettivo sia di supportare le organizzazioni, pubbliche e private, nel combattere e prevenire la corruzione, sia di diffondere una cultura basata sull’etica e sulla buona condotta.

Il 20 dicembre 2016 il Presidente dell’UNI (Ente Nazionale italiano di Unificazione) ha ratificato il corpo normativo UNI ISO 37001:2016, che costituisce l’adozione nazionale (in lingua italiana) della norma internazionale ISO 37001.

Perché certificarsi ISO 37001?

Con l’implementazione di un sistema di gestione conforme alla norma ISO 37001, qualsiasi azienda, di ogni dimensione e settore, potrà evitare o mitigare i costi ed i rischi connessi al verificarsi di episodi di corruzione, aumentando, inoltre, la fiducia del mercato nelle modalità con cui l’impresa svolge la propria attività.

Per l’organizzazione che si certifica ISO 37001, è possibile andare oltre il rispetto dei requisiti minimi legali e adottare un approccio sistemico rivolto alla prevenzione e al contrasto della corruzione, secondo la metodologia tipica del Plan – Do – Check – Act, orientata al miglioramento continuo.

Dal punto di vista della governance, gli amministratori di un’impresa potranno dimostrare di aver assolto il proprio compito e dovere di assicurare che l’organizzazione abbia implementato adeguati controlli per la prevenzione dei rischi connessi alla corruzione.

Inoltre, sul piano dei rapporti con azionisti e investitori, l’esistenza di sistema di gestione per la prevenzione della corruzione, risponde alle maggiori richieste che le misure di controllo interno includano la valutazione delle questioni etiche e di integrità. In questo senso, la certificazione attesta l’adozione di buone prassi contro la corruzione, riconosciute a livello internazionale e può quindi costituire (come per ISO 45001 per i reati in materia di Salute e Sicurezza) uno strumento di difesa da parte dell’organizzazione in caso di controversie. Ad esempio, nei casi di rischio ex D. Lgs. n. 231/2001, la certificazione rilasciata da un ente autorevole e indipendente, costituirà evidenza concreta sia della mancanza di gravi carenze organizzative, evitando l’applicazione di misure cautelari molto incisive, sia dell’adozione ed efficace attuazione di un idoneo modello organizzativo anti-corruzione, aumentando le chances per l’ente di ottenere l’esenzione da responsabilità.

Ulteriori vantaggi riguardano il mondo delle gare d’appalto:

• la certificazione ISO 37001 potrà essere utilizzata a riprova del possesso del requisito di cui all’art. 3, comma 2, del Regolamento attuativo del Rating di Legalità, che richiede l’adozione di modelli organizzativi di prevenzione e contrasto alla corruzione ai fini dell’assegnazione di un +, utile alla maggiorazione del punteggio (Delibera AGCM del 14 novembre 2012, n. 24075)
• per quanto riguarda il mondo dei contratti con soggetti pubblici, l’impiego della certificazione ISO 37001 può essere un elemento premiale per il rating d’impresa ai sensi dell’ANAC.

Tutto quanto sopraddetto consente di affermare che, nonostante la conformità a questa normativa non garantisca una totale eliminazione del rischio, l’adesione alle indicazioni contemplate da ISO 37001 potrà tuttavia supportare l’organizzazione nell’attuare misure ragionevoli e proporzionali in grado di impedire il verificarsi di episodi di corruzione, e potrà contribuire all’armonizzazione delle misure preventive a livello globale, oltre che alla razionalizzazione dei controlli interni.

Gli elementi caratterizzanti della ISO 37001

Le principali componenti del Sistema di Gestione Anticorruzione definite da ISO 37001 sono:

• Bribery Risk Assessment: valutazione dello specifico rischio corruzione;
• Leadership and Commitment: definizione di un modello di supervisione di senior e middle management;
• Anti-Bribery Compliance Function: nomina della funzione di Responsabile della compliance Anti-Corruzione;
• Policy Anti-Corruption: redazione di una procedura anti-corruzione;
• Resources: individuazione e disposizione di risorse necessarie per la creazione, l’implementazione, la manutenzione e il miglioramento continuo del Sistema di Gestione Anticorruzione;
• Training: organizzazione di corsi sulla specifica materia;
• Communication: comunicazioni interne ed esterne relative al Sistema di Gestione Anticorruzione;
• Due Diligence: analisi del rischio corruzione in relazione alle singole specifiche operazioni, progetti, attività e partner commerciali;
• Financial Controls: previsione di modalità di gestione delle risorse finanziarie idonee ad evitare il rischio corruzione;
• Non Financial Controls: implementazione di controlli specifici sui processi aziendali di natura non finanziaria;
• Raising Concerns: attuazione di procedure che incoraggiano e consentono alle persone di segnalare condotte corruttive sospette;
• Monitoring: miglioramento continuo attraverso il monitoraggio, la misurazione, l’analisi e la valutazione del Sistema di Gestione Anticorruzione;
• Internal Audit: conduzione di audit interni ad intervalli pianificati per fornire informazioni sulla conformità del Sistema di Gestione Anticorruzione ai requisiti della ISO 37001.

Il rapporto tra la ISO 37001 e il D. Lgs. n. 231/2001

Come la ISO 37001 si interfacci con le legislazioni nazionali vigenti, relative alla prevenzione della corruzione, è un tema che richiede un’analisi accurata.

Bisogna innanzitutto specificare che la norma, volontaria, non supera in nessun modo le leggi di riferimento, cogenti, (ovvero il D. Lgs. n. 231/2001 e la legge n. 190/2012), ma rappresenta con certezza una best practice per l’adozione di sistemi di prevenzione della corruzione, come richiesti dalle citate disposizioni normative.

Va detto inoltre che, mentre un modello organizzativo di gestione e controllo (MOGC) ex D. Lgs. n. 231/2001 si concentra sui fenomeni di corruzione a vantaggio dell’ente, un sistema di gestione conforme alla norma ISO 37001 dovrà efficacemente prevenire anche i fenomeni di corruzione passiva a vantaggio della persona fisica, elemento sul quale la legge n. 190/2012 già si concentra.

 

L’allegato A della norma ISO 37001 contiene alcune linee guida su come possono essere attuati i requisiti della norma, tra i quali, in particolare:

• il risk assesment, che come noto è un elemento fondante dei modelli ex D. Lgs. n. 231/2001;
• la due diligence, per valutare il rischio di corruzione cui si espone la società, nel momento in cui entra in rapporti con dipendenti, clienti, fornitori, partner commerciali, titolari e soci in affari a vario titolo, elemento che ogni modello ex D. Lgs. n. 231/2001 dovrebbe prendere in considerazione, ma troppo spesso sottovalutato.

Confindustria ha emesso delle “Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231” (aggiornate a marzo 2014). In questo documento si evidenza che “implementare un sistema certificato di misure organizzative e preventive è segno di un’inclinazione dell’ente alla cultura del rispetto delle regole, che sicuramente può costituire la base per la costruzione di modelli tesi alla prevenzione dei reati-presupposto”.

Le medesime linee guida evidenziano tuttavia come “l’adozione di un sistema certificato di gestione aziendale non mette l’ente al riparo da una valutazione di inidoneità del modello ai fini della responsabilità da reato. Di conseguenza, le organizzazioni che abbiano già attivato processi di autovalutazione interna, anche certificati, dovranno focalizzarne l’applicazione – qualora così già non fosse – su tutte le tipologie di rischio e con tutte le modalità contemplate dal decreto 231”.

Per tale ragione, in una logica di ottimizzazione dei modelli organizzativi, “sarà importante valorizzare la sinergia con la documentazione (articolata di solito in manuali interni, procedure, istruzioni operative e registrazioni) dei sistemi aziendali in materia antinfortunistica (UNI-INAIL o OHSAS 18001), ambientale (EMAS o ISO 14001), di sicurezza informatica (ISO 27001) e di qualità (ad esempio ISO 9001, nonché le altre norme volontarie distinte per tipologia di prodotti e/o servizi offerti)”

Circa i rapporti tra efficacia del modello e certificazioni ottenute, l’art. 30 del D. Lgs. n. 81/2008 riconosce alla certificazione dei sistemi aziendali in materia antinfortunistica valore di presunzione di conformità del modello stesso con riferimento ai soli rischi legali ai reati di cui all’art. 25-septies D. Lgs. n. 231/2001.

In via analogica, anche in assenza di una precisa indicazione legislativa, un modello 231 integrato con la ISO 37001 (che pertanto possa dimostrare una certificazione riguardo alla gestione dei processi e dei controlli posti a presidio dei reati di corruzione) potrà essere di ausilio nell’ambito dei procedimenti penali. Tale sistema di prevenzione, azione, verifica e controllo potrà essere utilizzato per dimostrare la fraudolenza della condotta esercitata dall’autore del reato, e per provare la contrarietà e l’estraneità dell’organizzazione al fatto corruttivo. Va comunque specificato che non potrà in alcun modo essere attribuita valenza di presunzione di conformità al possesso della certificazione ISO 37001, né tantomeno di automatica esenzione da responsabilità.

In definitiva, un ente già dotatosi del modello ex D. Lgs. n. 231/2001 e del piano anticorruzione ai sensi della legge n. 190/2012, ha certamente convenienza nell’implementare anche un sistema di gestione anti corruzione certificato, dal momento che quest’ultimo consente all’ente di fare propria una metodologia globalmente riconosciuta per la gestione complessiva dei rischi di corruzione.

L’approccio multidisciplinare proposto da Nord Pas

Come emerso nella breve spiegazione precedente, è chiaro che l’implementazione di sistemi di gestione conformi alla norma ISO 37001 richiede competenze multidisciplinari, tra le quali: competenze legali, gestionali, economiche ed informatiche.

Nord Pas è in grado di proporre un servizio a 360 gradi che abbraccia tutte queste discipline e si avvale di esperti con comprovata esperienza sul campo. Il nostro servizio consulenziale e formativo fornisce esperienze ed indicazioni pratiche su come applicare un sistema di gestione anticorruzione, con un focus specifico su come condurre un processo di valutazione del rischio: il percorso permetterà di cogliere le sinergie con le altre norme sui Sistemi di Gestione eventualmente già applicati nell’organizzazione (es. Qualità, Risk Management, Sicurezza Informatica, ecc).

Non da ultimo, questo servizio può trarre valore aggiunto dal supporto di una piattaforma software come Q-81 HSE WEB APP – software pensato e realizzato proprio con l’obiettivo di garantire la compliance dei sistemi di gestione alle norme ISO di qualsiasi tipo.