Le aziende grandi, medie ma sempre più anche le piccole si stanno certificando ISO 37001 per prevenire la corruzione.
In base alla definizione della ISO 37001 la due diligence è un processo per approfondire natura ed estensione dei rischi di corruzione e rappresenta anche un controllo “aggiuntivo e mirato” per mitigare i rischi.
Il processo di controllo è astrattamente ampio: può riguardare categorie di transazioni, progetti, attività̀, soci in affari e membri del personale dell’organizzazione per le quali la valutazione dei rischi abbia rilevato un livello di rischio di corruzione superiore al basso.
Due Diligence
Esponiamo di seguito alcuni concetti chiave, senza pretesa di completezza: l’argomento è ampio ed è opportuno che ogni Azienda effettui una valutazione mirata, ma cerchiamo di fornire qualche input utile.
- La due diligence deve essere ponderata in base al rischio
Tutto va calibrato sul rischio. Alcune “parti” a basso rischio, come ad esempio clienti al dettaglio o fornitori, possono non necessitare di uno screening approfondito. Di contro, ci possono essere stakeholder a medio/alto rischio, come società o persone che esercitano la propria attività in una giurisdizione conosciuta per un alto rischio di corruzione. Più alto è il rischio valutato, più profondo sarà il livello di due diligence richiesto. - Guardate sempre alla reputazione di chi interagisce con la vs. azienda
I manager e gli shareholders di un socio in affari sono di assoluto rilievo. La loro identità, reputazione, background personale, oltre che i potenziali legami diretti e indiretti a persone politicamente esposte vanno considerati nel processo di valutazione. - Obbiettivo: decisioni supportate da dati chiari
La due diligenge ha la finalità di supportare, indirizzare il processo decisionale dell’organizzazione con maggiori informazioni sotto il profilo dei rischi di corruzione che essa potrebbe trovarsi ad affrontare. In sintesi, le terze parti vanno scelte con cura. - Come eseguirla?
Le modalità non sono rigidamente stabilite dalla norma, ma è opportuno considerare la capacità dell’organizzazione di ottenere sufficienti informazioni, dei costi per reperire queste informazioni e dell’entità̀ dei rischi derivanti. Definire modalità chiare, coerenti e organiche è indispensabile per l’organizzazione che deve porre attenzione a questo aspetto. In generale, sottoporre questionari al potenziale socio in affari, consultare banche dati, considerare le white list, effettuare una cernita delle informazioni del web, raccogliere attestati, certificazioni e la cerniere il rispetto delle ad altre normative sono tutti strumenti molto utili. - Attenzione alla normativa vigente
L’organizzazione dovrebbe aver considerato nell’ambito di applicazione della due diligence anche la verifica sulla sussistenza di motivi di esclusione degli operatori economici dalle procedure di appalto, se previsti da norme di legge ad essa applicabili (in Italia, il D.Lgs. 50/2016, cd “Codice degli Appalti”).
Tra queste cause di esclusione potrebbero rintracciarsi circostanze da considerare quali:
– condanne definitive per fatti di corruzione o illeciti analoghi,
– gravi illeciti professionali finalizzati a influenzare indebitamente il processo di decisione sull’affidamento dell’appalto
– conflitti di interesse determinati dalla partecipazione dell’operatore economico, etc. - E se i rapporti sono già in corso?
Nel caso di rapporti già in essere, occorre effettuare un approfondimento sulla natura e sul contenuto degli accordi alla base di questi rapporti, sulle modalità di esecuzione degli stessi, sulla forma di pagamento dei compensi. Torna utile il concetto di “rischio” di cui sopra per parametrare la profondità della due diligence. - Attenzione all’assunzione del personale
Considerate con scrupolo la clausola 7.7.2. della norma. L’organizzazione deve integrare nelle procedure di assunzione (o per un cambio di mansioni) una due diligence proporzionata ai rischi associati al ruolo. - E se dalla due diligence emergono criticità?
Nel caso in cui la due diligence abbia riscontrato particolari criticità, l’elemento di attenzione (o “red flag”) deve essere comunicato a tutti coloro che hanno la responsabilità̀ di approfondire il caso e di prendere decisioni in merito alla prosecuzione dell’affare o della relazione con il socio in affari, ovvero di sospenderli o anche di abbandonarli. In tal caso le decisioni, anche con il coinvolgimento degli apicali, vanno prese con molta cautela. - La due diligence va ripetuta?
Certamente sì, a intervalli regolari e pianificati in modo da assicurare l’aggiornamento delle informazioni.
L’APPROCCIO CORRETTO: COME AGIRE
Per costruire una ISO che sia veramente efficace è opportuno adottare il metodo del Plan – Do – Check – Act, orientato al miglioramento continuo.
Quindi, un consulente preparato non solo deve limitarsi ad individuare strategie che possano prevenire i reati in materia di corruzione ma, soprattutto, cercare di apportare un reale miglioramento all’interno dell’organizzazione.
A QUALI ORGANIZZAZIONI SI PUO’ APPLICARE LA NORMA UNI ISO 37001?
La norma UNI ISO 37001 può applicarsi a qualunque organizzazione (o a parte di essa), indipendentemente da tipologia, dimensione e natura dell’attività poiché essa esplicita requisiti a carattere generale che possono attagliarsi alle realtà più diverse. Inoltre, è opportuno sottolineare che adottare un sistema secondo la norma UNI ISO 37001 giova in modo rilevante anche alle piccole realtà che per il solo fatto di non essere di medie-grandi dimensioni non possono certo dirsi esenti da possibili fenomeni corruttivi.
In talune organizzazioni, poi, il sistema anticorruzione può giocare un ruolo ancor più decisivo.
Le Pubbliche Amministrazioni e alcune Società, per favorire il contrasto della corruzione e promuovere la legalità, adottano il Piano Triennale per la Prevenzione della Corruzione che ha la funzione di delineare una valutazione del diverso livello di esposizione degli uffici al rischio di corruzione e indica gli interventi organizzativi volti a prevenire il medesimo rischio.
Il Sistema di Gestione basato sulla norma UNI ISO 37001 può offrire un supporto veramente utile a tutte le organizzazioni che adottano il Piano Triennale per la Prevenzione della Corruzione in quanto favorisce una conoscenza più approfondita dei processi e un orientamento degli stessi alla legalità.
COME SI OTTIENE LA CERTIFICAZIONE ANTICORRUZIONE?
La certificazione ISO 37001 si ottiene elaborando un efficace sistema di gestione finalizzato a prevenire la corruzione all’interno dell’organizzazione
Per costruire questo sistema di gestione è necessario possedere competenze diversificate quali:
- Competenze giuridiche e in particolare nell’ambito del Decreto Legislativo 231/2001;
- competenze nel settore dei sistemi di gestione e nello sviluppo di modelli organizzativi;
- competenze di risk assessment e risk management.
Perciò spesso l’azienda si affida a un consulente che sia in grado di costruire un sistema di gestione realmente efficace il quale dovrà contenere, tra l’altro, e a mero titolo esemplificativo:
– la definizione di ruoli e responsabilità del management in materia anti-corruzione;
– l’analisi del rischio per individuare i processi aziendali e le attività maggiormente esposte al rischio-reato;
– la stesura di un modello organizzativo e di procedure finalizzati alla prevenzione di reati di corruzione;
– una formazione adeguata di tutte le componenti aziendali.
L’azienda dovrà infine sottoporsi alla valutazione di un Ente di terza parte che, se positiva, rilascerà la certificazione in base allo norma UNI ISO 37001.
CONCLUSIONI
L’adozione di un sistema di gestione anticorruzione apporta quindi numerosi benefici per l’organizzazione e rappresenta un importante stimolo per tutte le componenti ad orientare l’agire alla legalità.
Si consiglia di leggere anche il seguente approfondimento tecnico di ACCREDIA.
Consulente ISO 37001
Per maggiori informazioni contattateci o chiamate il numero +39 333 1328522.
Può compilare il form in basso per avere maggiori info sul corso