-
Blog
26 Luglio 2024
La norma UNI ISO 37001:2016
La norma UNI ISO 37001:2016 è il primo standard internazionale per i sistemi di gestione con l’obiettivo di ridurre i rischi e i costi legati a possibili fenomeni corruttivi.
È applicabile a qualsiasi organizzazione pubblica o privata, a prescindere da settore di attività, dimensioni o localizzazione geografica e stabilisce i requisiti necessari per pianificare e concretizzare un sistema di gestione e controllo dei rischi di corruzione, tenendo conto delle seguenti fasi:
- analisi e valutazione dei rischi di corruzione;
- programmazione e attuazione di misure e controlli anticorruzione;
- sorveglianza sull’ applicazione di misure e controlli anticorruzione e riesame periodico sull’efficacia e adeguatezza del sistema di prevenzione.
La norma UNI ISO 37001, coerentemente con il risk based approach delle norme ISO e dei sistemi di gestione, richiede di indicare i fattori interni ed esterni per pianificare un sistema di gestione per prevenire la corruzione.
Tra i fattori si annoverano ad esempio: il modello commerciale dell’organizzazione; i soggetti terzi che a vario titolo operano per conto dell’organizzazione; gli adempimenti di legge, normativi e contrattuali, rilevanti ai fini della prevenzione della corruzione ecc.
Per quanto concerne invece gli elementi che l’organizzazione dovrebbe considerare per prevenire la corruzione troviamo: i Piani Triennali per la Prevenzione della Corruzione (c.d. PTCP); il Piano Nazionale Anticorruzione; il Modello di Organizzazione, Gestione e Controllo ex D.lgs. 231/2001 limitatamente alla prevenzione dei reati conseguenti ai rapporti con la PA e in caso di corruzione tra privati ecc.
Tali strumenti si coniugano con il sistema UNI ISO 37001 nell’ analisi e valutazione del rischio; nella programmazione e attuazione di misure di controllo commisurate ai rischi e monitoraggio.
Ai fini della pianificazione del sistema di gestione, l’organizzazione può utilizzare gli strumenti anzidetti oppure tenerli separati.
Ad ogni modo, è opportuno evitare la duplicazione degli strumenti di pianificazione, controllo e monitoraggio che potrebbero determinare inefficienze organizzative.
Infine, per una migliore analisi del contesto dell’organizzazione, si tiene conto dei media locali o nazionali, dei siti web, degli osservatori specializzati ecc che riportano notizie di pubblico dominio, legate al coinvolgimento dell’organizzazione o dei suoi membri in fatti o contenziosi considerevoli per l’applicazione del sistema di prevenzione della corruzione.
La norma UNI ISO 37001 peraltro richiede di individuare gli stakeholder e di prevedere le esigenze e le aspettative dei medesimi al fine di pianificare un sistema soddisfacente. A tal proposito, si evidenzia che le parti interessate possono essere sia interne sia esterne all’organizzazione; talché la norma distingue tra requisiti obbligatori di natura cogente, aspettative non obbligatorie degli stakeholder e impegni assunti volontariamente verso gli stessi.
Per quanto attiene all’ambito di applicazione della norma, è ricompresa sia la corruzione attiva, cioè quella attuata dall’organizzazione e i suoi membri anche attraverso soggetti terzi; sia quella passiva cioè compiuta contro organizzazione e personale e si estende, peraltro, ai c.d. “soci in affari” cioè terze parti con cui l’organizzazione intesse relazioni commerciali.
In sede di verifica del sistema di gestione, l’auditor dovrebbe verificare e valutare tramite interviste al top management, ai delegati e ai responsabili dei processi con rischio di corruzione superiore al basso:
- l’efficienza dell’organizzazione nell’attuazione della policy anticorruzione;
- la presenza di un sistema che presenta responsabilità adeguate e un corretto controllo dei processi;
- la garanzia dei corretti flussi di comunicazione e di risposte consone;
- l’identificazione e l’analisi e valutazione di rischi in modo conforme alle attività e al contesto dell’organizzazione;
- la revisione del sistema di controllo e prevenzione dei rischi all’occorrenza.
“
Preliminarmente, nel processo di valutazione dei rischi occorre valutare la corretta mappatura dei processi “a rischio” e l’identificazione dei processi sensibili con il dettaglio dei rischi connessi.
”
L’organizzazione, quindi, deve attivarsi identificando i rischi che possono essere ragionevolmente previsti; analizzare e ponderare i rischi di corruzione, distribuire i medesimi secondo la relativa scala di priorità e infine valutare la completezza dei controlli vigenti atti a contenere i rischi stimati.
È evidente che il risk assessment sia un processo dinamico che prevede una valutazione periodica del rischio di corruzione presente nell’organizzazione e il necessario periodico riesame legato alla rilevazione di nuove informazioni e/o di cambiamenti significativi dell’organizzazione, correlati all’obbligo di conservazione della documentazione comprovante l’avvenuta valutazione del rischio.
Per quanto concerne la leadership, la norma in esame introduce una novità nell’ambito delle ISO. Più precisamente, si attua la distinzione tra “Organo direttivo” e “ Alta Direzione”.
L’Organo Direttivo, dal punto di vista “funzionale”, detiene le responsabilità e l’autorità sull’amministrazione, sulla governance e sulle politiche dell’organizzazione, tra cui la prevenzione della corruzione. Esempi di “Organo Direttivo” sono: il Consiglio di Amministrazione, i comitati del Consiglio di Amministrazione, il Consiglio di sorveglianza (nel sistema di governance c.d. “dualistico”).
Invece, la definizione di Alta Direzione data dalla norma è: “persona o gruppo di persone che, al livello più elevato, dirigono e controllano un’organizzazione”. L’Alta Direzione, quindi, ha la responsabilità di attuare, mantenere e migliorare il sistema di gestione per la prevenzione della corruzione.
In particolare deve:
- assicurare l’integrazione del sistema di gestione nei processi dell’organizzazione;
- sostenere le funzioni preposte alla prevenzione della corruzione nelle aree di competenza;
- comunicare all’interno e all’esterno la politica di prevenzione della corruzione attuata;
- promuovere la cultura della lotta alla corruzione;
- incoraggiare l’uso di procedure di segnalazione di atti di corruzione certi o presunti;
- assicurare che nessun membro del personale subisca ritorsioni o minacce o conseguenze disciplinari per il fatto di aver effettuato tali segnalazioni o per essersi rifiutato di prendere parte ad atti di corruzione, anche nel caso in cui questo possa comportare un danno al business dell’organizzazione.
Infine, per quanto riguarda gli audit interni, la norma ISO in esame descrive modalità e requisiti per la preparazione dei medesimi.
Gli audit vengono condotti facendo riferimento alla norma ISO 19011, garantendo imparzialità e indipendenza dell’auditor rispetto al processo sottoposto ad audit.
I risultati degli audit devono essere riferiti ai dirigenti di competenza, alla funzione conformità per la prevenzione della corruzione, all’Alta Direzione e, se opportuno, all’Organo Direttivo.
L’obiettivo di un audit interno è verificare l’efficacia del sistema di gestione all’interno dell’area o della funzione esaminata; valutando se le procedure applicate, gli standard di riferimento e gli strumenti utilizzati siano idonei per implementare il sistema .
La norma richiede all’organizzazione di stabilire uno o più programmi di audit, indicando i criteri e il campo di applicazione, selezionando gli auditor ed assicurando, in generale, obiettività, imparzialità, competenza ed indipendenza.
Al fine di condurre al meglio l’audit, è necessario valutare i rischi dell’organizzazione, individuando processi / funzioni a maggior rischio corruttivo. La ricerca dei processi e delle funzioni a maggior rischio può essere realizzata attraverso: la verifica del programma di audit nonché tramite l’analisi dei rapporti; la verifica delle azioni conseguenti ai risultati degli audit; l’indagine circa la competenza e l’indipendenza degli auditor ecc.
Si precisa che se l’organizzazione ha al suo interno un modello organizzativo ex D.lgs. 231/2001, nella pianificazione degli audit interni bisognerà ricomprendere i controlli e la vigilanza dell’Organismo di Vigilanza e le comunicazioni relative agli ambiti di reato corrispondenti.
Inoltre, se nell’organizzazione è presente una funzione di “internal audit” con compiti relativi a controlli sulla compliance anche in tema di anticorruzione, è necessario:
- prevedere la conformità ai requisiti dell’intero sistema ISO 37001;
- formare e qualificare tutte le funzioni preposte all’audit;
- assicurare obiettività, imparzialità, competenza e indipendenza del team nei confronti delle funzioni oggetto di audit.
Ti è piaciuto questo articolo?