L’ISO 37001 è la nuova norma anti-corruzione pubblicata ad ottobre 2016 dall’Organizzazione Internazionale per la Standardizzazione. Espressamente concepita per aiutare le organizzazioni a “contrastare le forme di corruzione e per promuovere una cultura d’impresa etica”, questa norma definisce un nuovo standard internazionale per costruire un sistema di gestione anticorruzione (chiamato Anti-bribery Management System). Dopo l’annuncio della sua pubblicazione, gli esperti di settore e le Organizzazioni in genere si stanno interrogando intorno a questa nuova norma ISO, cercando di comprenderne gli aspetti, le linee guida e le risposte che può concretamente offrire per combattere la piaga della corruzione aziendale. Come è strutturata la norma? Quali sono i suoi requisiti? Chi può adottarla? Insomma: che cos’è l’ISO 37001? 
Di cosa parla questo articolo?
Dopo avere spiegato in un altro post i vantaggi che l’ISO 37001 può portare alle organizzazioni e il processo per ottenere la certificazione anti-corruzione, in questo articolo ci concentreremo sulla norma stessa. Partendo da una necessaria premessa sul fenomeno della corruzione, cercheremo di rispondere in modo esaustivo a queste domande:
- Che cos’è l’ISO 37001?
- Chi può adottarla?
- Che cosa richiede?
- Quali sono i requisiti dell’ISO 37001?
- Come si può ottenere la certificazione?
Seguiremo un percorso di progressivo approfondimento della norma, fino ad esaminare nel dettaglio – nel seguito di questo articolo – i contenuti e i requisiti che essa definisce.
ISO 37001: una premessa sulla corruzione, governance e buona prassi
È cosa nota che la corruzione sia una delle piaghe più dannose e difficili da arginare. Ciò vale sia a livello internazionale che in Italia. I fenomeni della corruzione, delle tangenti o delle «regalie» continuano ad incidere negativamente sia nella vita pubblica che nella gestione delle Organizzazioni (e nei rapporti tra loro).
Senza addentrarci in considerazioni troppo raffinate, va sottolineato che la corruzione è un fenomeno capace di alterare il mercato e che induce le organizzazioni ad operare scelte non legate al rapporto virtuoso tra qualità e prezzo, ma in base ad altri fattori che finiscono per impedirne un corretto sviluppo. Da questo punto di vista, questo studio dell’A.N.A.C sul fenomeno della corruzione in Italia risulta ancora uno strumento prezioso per il rigoroso approccio metodologico adottato e per i risultati che offre. La corruzione, inoltre, introduce una sorta di «tassazione parallela»: una tassazione sommersa, per di più illegale e che finisce per aumentare, ingiustificatamente, i costi delle attività economiche e delle ricadute in ambito sociale. È anche per questi motivi che, i differenti ordinamenti giuridici, considerano la corruzione un reato da perseguire e punire in maniera sempre più rigorosa. Osservata dal punto di vista di un’azienda, la questione della corruzione non può che rientrare nel tema della governance. Infatti, è proprio la governance societaria a definire i ruoli, le responsabilità, le regole e i sistemi di controllo finalizzati a ridurre il rischio. Sia che si tratti di rischio operativo che di compliance, sia di business continuity che di reputation. È proprio per questo motivo che, intorno alla seguente definizione – da intendersi in senso generico- della corruzione data dall’ISO
offering, promising, giving, accepting of ad undue advantage of any value (which could be financial or non-fincancial), directly or indirectly, and irrispective of location(s), in violation of applicable law, as an inducement or reward for a person acting or refraining from acting in relation to the performance of that person’s duties
è stato sviluppato un nuovo standard internazionale: l’ISO 37001, appunto. Va detto che, a livello internazionale, esistono già da tempo linee guida e delle best practices che indicano i criteri per adottare un «modello organizzativo» idoneo a presidiare il reato di corruzione. Tra queste si possono menzionare:
- OCSE, «Good practices Guidance on Internal Controls, Ethics and Compliance»
- World Bank, «Integrity Compliance Guidance Guidelines»
- ICC – International Chamber of Commerce, «Rules on Combating Corruption»
- Transparency International, «Business Principles for Countering Bribery»
Oltre a questi esistono linee guida emesse dalle autorità di singoli paesi, tra le quali:
- UK Ministry of Justice (2010), «Guidance about procedures which relevant commercial organizations can put into place to prevent persons associated with them from bribing»
- U.S. Department of Justice and the Securities and Exchange Commission (2012), «Resource Guide to the U.S. Foreign Corrupt Practices Act»
Queste linee guida e best practices hanno la caratteristica di precostituire un’efficace guida per chi vuole implementare un sistema di gestione anticorruzione. Tra l’altro, esse sono allineate con i criteri generali previsti dagli articoli 6 e 7 del D.lgs 231/2001.
Che cos’è l’ISO 37001?
Con l’intento di creare uno strumento capace di contrastare efficacemente i fenomeni della corruzione, l’International Organization for Standardization ha creato la norma ISO 37001. Lo scopo generale di questa norma è già stato accennato: aiutare le organizzazioni a combattere il rischio di corruzione e a promuovere una cultura d’impresa etica. In particolare, la stessa Organization for Standardization riporta che la 37001:
sets out requirements and provides guidance for a management system designed to help an organization to prevent, detect and respond to bribery and comply with anti-bribery laws and voluntary commitments applicable to its activities
In altri termini, come già accade per altri standard ISO, anche questa norma stabilisce un riferimento di buona pratica affinché le Organizzazioni possano creare un sistema di gestione conforme ai suoi dettati anti-corruzione. Lo fa raccogliendo tutta l’esperienza e le buone prassi indicate nel precedente paragrafo, ma sistematizzandole in un management system capace di parlare un linguaggio vicino a chi quotidianamente si occupa di sistemi di gestione. A tal proposito, è importante sottolineare che le misure richieste dall’ISO 37001 sono state concepite per essere integrate con altri sistemi di gestione già esistenti. Questa norma, infatti, è stata strutturata nella forma della high-level-structure, ossia con uno schema già comune agli standard di più recente emissione (per es. ISO 9001:2015, ISO 14001:2015). Ad ogni modo, per rispondere in modo sintetico alla domanda che cos’è l’ISO 37001 si può dire che:
- è una nuova norma ISO appositamente progettata affinché un’organizzazione possa adottare, mantenere e migliorare un programma di tutela e prevenzione dalla corruzione
- è una guida per un nuovo standard internazionale che, nella fattispecie, detta i criteri che un’organizzazione deve implementare (e rispettare) per costruire un sistema di gestione anti-corruzione (detto Anti-Bribery Management System)
- è un norma che prescrive una serie di misure che un’organizzazione può adottare come good practices anti-corruzione
Chi può adottare l’ISO 37001?
L’ISO ha appositamente costruito questo nuovo standard in modo flessibile e, pertanto, può essere adottato da un ampio ventaglio di organizzazioni, tra le quali:
- le Grandi organizzazioni
- le Piccole e Medie Imprese (PMI)
- le organizzazioni sia del settore Pubblico che Privato
- e organizzazioni Non Governative
In breve: tutte le tipologie di organizzazioni possono adottare questa norma. Del resto, lo standard ISO 37001 è internazionale e, quindi, può essere adottato da un’organizzazione di qualsiasi paese.
Che cosa richiede l’ISO 37001?
Come per altri standard ISO, anche la 37001 richiede che un’organizzazione implementi, in modo ragionevole e proporzionato, una serie di misure e di controlli che aiutino nell’ordine a prevenire, rilevare e combattere la corruzione. Alcuni esempi di queste misure sono:
- Definizione di una policy anti-corruzione documentata
- Definizione di ruoli e responsabilità del management in materia anti-corruzione
- Individuazione di una funzione incaricata della compliance anti-bribery
- Analisi di contesto, degli stakeholders e business associates
- Costruzione di un modello di analisi del rischio per individuare i processi aziendali e le attività maggiormente esposte al rischio di reato di corruzione
- Stesura di un modello organizzativo e di procedure finalizzate alla prevenzione di reati di corruzione individuati nel risk assessment
- Formazione di tutti i livelli dell’Organizzazione sulle tematiche anti-bribery
- Attuazione di due diligence e controlli in ambito finanziario, commerciale, contrattuale, risorse umane, procurement, business associates, sponsorizzazioni, omaggi e benefits.
- Pianificazione di una serie di attività di reporting, monitoraggio, auditing e riesame
- Definizione di un processo di whistleblowing
- Gestione delle azioni correttive e delle relative investigazioni finalizzate al miglioramento continuo
Quali sono i requisiti della norma ISO 37001?
Scendendo ad un livello più approfondito, riportiamo una descrizione dei requisiti della norma (una trattazione più estesa di ogni singolo aspetto verrà affrontata in successivi articoli).
ISO 37001: Punti 1, 2 e 3
I primi tre punti dell’ISO 37001 riguardano il campo di applicazione, le normative di riferimento ed i termini e le definizioni. Sebbene molte considerazioni si potrebbero svolgere già su questi primi tre punti della norma, in questa prima fase è più utile concentrarsi sui requisiti stabiliti dal punto 4) al punto 10).
ISO 37001: Punto 4 (Contesto dell’Organizzazione)
Questo punto richiede di identificare tutti gli aspetti del contesto in cui opera l’organizzazione, la tipologia degli stakeholders, le aspettative ed il livello di rischio ipotizzabile, in modo da poter definire – in un quadro reale e non astratto – l’impostazione degli scopi, degli obiettivi e dei risultati attesi in tema di anti-bribery. Questo punto della norma è suddiviso nei seguenti sotto-paragrafi:
4.1 Capire l’organizzazione ed il suo contesto
4.2 Capire i bisogni e le aspettative delle parti interessate
4.3 Determinare lo scopo del sistema manageriale anti-corruzione
4.4 Sistema di gestione anti-corruzione
4.5 Risk Assessment
ISO 37001: Punto 5 (Leadership)
Questo punto è diventato un requisito particolarmente importante già con il passaggio alle nuove versioni della ISO 9001-2015 e della ISO 14001-2015; inoltre, è un requisito presente anche nella Linea Guida ISO 19600 richiamata nello standard. Il requisito in questione parte dal presupposto che è necessario un significativo coinvolgimento del management nelle scelte che riguardano il sistema di gestione e che tale impegno sia particolarmente evidente nelle fasi di definizione di ruoli, di impostazione di policy di riesame, definizione di obiettivi e di comunicazione. Il punto 5 della norma è suddiviso nei seguenti sotto-paragrafi:
5.1 Leadership e Commitment
5.2 Policy
5.3 Ruoli Organizzativi, Responsabilità e Autorità
ISO 37001: Punto 6 (Pianificazione)
Il punto 6 dello standard anti-corruzione richiede, una volta definito il contesto e i rischi, di adottare azioni conseguenti e pianificate al fine di presidiare il rischio, migliorando costantemente la qualità di tale presidio. La definizione di obiettivi il più possibile coerenti con la logica S.M.A.R.T. (specifici, misurabili, raggiungibili, rilevanti e tempificati) e la chiara indicazione dei programmi e delle risorse dedicate al raggiungimento di tali obiettivi, costituiscono uno degli elementi essenziali del sistema di gestione anti-corruzione. Questo punto è suddiviso nei seguenti sotto-paragrafi:
6.1 Azioni per affrontare i rischi e opportunità
6.2 Obiettivi del sistema di gestione e pianificazione per la loro realizzazione
ISO 37001: Punto 7 (Supporto)
Il punto 7 dello del nuovo standard ISO richiede all’organizzazione la capacità di individuare e rendere disponibili tutte le risorse a supporto dello sviluppo del sistema di gestione. Tra queste risorse ci sono prima di tutto le risorse umane, rispetto alle quali rileva particolarmente il livello di competenza e consapevolezza rispetto ai processi in cui sono coinvolte.
Questo punto è suddiviso nei seguenti sotto-paragrafi:
7.1 Risorse
7.2 Competenza
7.3 Consapevolezza
7.4 Comunicazione
7.5 Informazioni documentate
ISO 37001: Punto 8 (Attività Operative)
Questo punto contiene la maggior parte dei requisiti operativi del sistema di gestione anti-corruzione; sia quelli che incidono sulle modalità di controllo dei processi interni e di outsourcing, sia quelli per il controllo dei business partner e del personale. Il punto è suddiviso nei seguenti sotto-paragrafi:
8.1 Pianificazione e controllo operativo
8.2 Due diligence
8.3 Controlli finanziari
8.4 Controlli non finanziari
8.5 Attuazione di controlli anti-corruzione da parte delle organizzazioni controllate e da business associates
8.6 Impegni anti-corruzione
8.7 Regali, ospitalità, donazioni e benefit simili
8.8 Gestione dell’inadeguatezza dei controlli anti-corruzione
8.9 Sollevare preoccupazioni
8.10 Investigare e gestire la corruzione
ISO 37001: Punto 9 (Valutazione delle Performance)
Uno degli elementi di maggiore significato in un sistema di gestione riguarda la misurazione delle performance, finalizzata a verificare se i risultati raggiunti (o le attività on going per raggiungere questi risultati) sono in linea con le aspettative. Ciò al fine di riesaminare i risultati della gestione e riorientare obiettivi e pianificazione. Tra gli strumenti di misurazione delle performance ci sono sicuramente:
- La strutturazione di un adeguato set di indicatori per monitorare costantemente le attività
- Gli audit di sistema finalizzati a verificare che tutti gli elementi del sistema di gestione stiano adeguatamente funzionando
- Il riesame della direzione nel quale gli elementi di misurazione della performance vengono esaminati al fine di una ridefinizione di obiettivi e policy
Il punto 9 della norma è suddiviso nei seguenti sotto-paragrafi:
9.1 Il monitoraggio, misurazione, analisi e valutazione
9.2 Audit interni
9.3 Riesame della direzione
ISO 37001: Punto 10 (Miglioramento)
Il punto 10 dello standard ISO 37001 individua gli strumenti finalizzati a garantire il miglioramento continuo del sistema di gestione che, per definizione, non è statico ma costantemente modificabile e migliorabile. Tra questi strumenti troviamo la gestione delle non conformità che, nella nuova definizione della High Level Structure, non rappresenta più un momento di default del sistema di gestione ma uno spunto per garantire il miglioramento continuo. Il punto 1o della norma è suddiviso nei seguenti sotto paragrafi:
10.1 Non conformità e azioni correttive
10.2 Miglioramento continuo
ISO 37001: come si può ottenere la Certificazione
Il processo per certificarsi ISO 37001 rispetta la prassi comune di molti altri processi di certificazione. Occorre, dunque, costruire innanzitutto un sistema di gestione che sia conforme ai requisiti dello standard anti-corruzione. Il sistema di gestione deve incominciare a produrre la propria attività e, quindi, deve funzionare per poter dire che non sia semplicemente implementato, ma anche attuato. Rispetto ad altri sistemi di gestione, la creazione di un sistema per l’ISO 37001 richiede una competenza multidisciplinare, con una integrazione di competenze di tipo giuridico, di tipo sistemico e in ambito risk management. Infine, una volta creato il sistema di gestione è necessario sottoporlo alla valutazione di un Ente di terza parte accreditato. Per l’ISO 37001 Accredia ha oramai approvato l’avvio delle attività di accreditamento degli Enti di terza parte autorizzati a certificare i sitemi di gestione anti-corruzione. ***** Sei interessato all’ISO 37001 e vuoi avere più informazioni? Non sai a chi rivolgerti per ottenere un supporto per la Certificazione ISO 37001? GruppoRES è costituita da professionisti specializzati e qualificati sul nuovo standard ed è in grado di seguirti passo per passo nel processo di certificazione.
Scrivici qui o chiamaci allo 039 6614048 e verificheremo subito insieme come possiamo supportarti.
