Perché certificarsi ISO 37001?

Considerando l’entità delle sanzioni sempre più elevate che le varie legislazioni nazionali ed internazionali prevedono per i reati di corruzione, perché non far certificare il proprio “Sistema di Gestione Anti-Corruzione”?

Certo, la certificazione non è una garanzia assoluta che attività corruttive non si verifichino presso un’azienda, ma grandi sono i vantaggi del processo di certificazione, incluso quello di portare un’evidenza certa “di aver adottato modelli organizzativi di prevenzione e di contrasto della corruzione” ai fini del Rating di Legalità per gli appalti pubblici in Italia.

A tal proposito, a metà del mese di ottobre, è prevista la pubblicazione della nuova norma ISO 37001 sui requisiti dei Sistemi di Gestione Anti-Corruzione che potranno, quindi, essere certificabili. La norma ISO 37001 è stato creata dal Comitato Tecnico ISO/PC 278, composto da delegati provenienti da tutto il mondo, compresi i migliori e più brillanti leader di pensiero del mondo, studiosi e dirigenti d’azienda, presieduti da Neill Stansbury, già Presidente del Global Infrastructure Anti-Corruption Centre (GIACC), con sede a Londra e del quale chi vi scrive è Presidente dell’affiliata italiana GIACC Italy.

Questo ha prodotto uno standard internazionale che soddisfa le aspettative di Stati Uniti, Regno Unito, Italia, Germania, Canada e altre autorità giudiziarie in tutto il mondo, che da anni applicano le proprie normative nazionali (FCPA, UK Bribery Act, D.Lgs. 231/01, ecc).

Costruire il proprio Sistema di Gestione Anti-Corruzione all’altezza delle aspettative dei regolatori internazionali, così da evitare interpretazioni riduttive dello stesso da parte degli organi inquirenti e giudicanti stranieri, ha valore inestimabile per un’organizzazione che intenda tutelare al meglio i propri Asset.

Allora perché non certificare il vostro Sistema di Gestione Anti-Corruzione ai sensi della ISO 37001?

In questo articolo, anziché limitarci all’elencazione degli ovvi benefici, proveremo a fare gli “avvocati del diavolo”, auto-ponendoci alcune obiezioni.

Prima obiezione.

Ottenere la certificazione ISO 37001 non protegge la mia azienda dagli organi inquirenti e giudicanti. 

Questo è vero, ma solo se ci limitiamo ad un’analisi superficiale. L’organizzazione non potrà esibire il certificato ISO 37001 agli organi giudicanti come una “bacchetta magica” per evitare ogni tipo di sanzione. Tuttavia, nel processo di certificazione, un ente certificatore indipendente verificherà che l’organizzazione abbia adottato una serie di azioni che portano naturalmente alla mitigazione del rischio e, quindi, del livello di responsabilità. Queste includono:

– L’esecuzione di una corretta valutazione dei rischi e l’attuazione o la convalida dei controlli per mitigare tali rischi

– L’evidenza che l’addestramento sia stato fornito per i soggetti a rischio

– La tenuta in ordine della documentazione nel rispetto delle politiche e procedure aziendali

– La gestione di un proporzionale processo di due diligence sulle terze parti ad alto rischio

– Il massimo coinvolgimento del Top Management nel perseguimento delle politiche aziendali.

Quindi, l’efficace attuazione e la certificazione ISO 37001 del proprio Sistema di Gestione Anti-Corruzione non porta ad una automatica presunzione di innocenza, ma diminuisce di molto le probabilità di avere un problema di corruzione nell’ambito dell’organizzazione stessa.

Seconda obiezione.

La norma ISO 37001 è solo una check-list per cui le organizzazioni si limiteranno ad adempiere il minimo previsto dalle disposizioni di legge, giusto per ottenere un certificato.

In effetti, lo spirito dei processi di certificazione richiede alle aziende di ragionare ad un più alto livello, superando la mentalità della check-list col “minimo sindacale”. Ma non possiamo nascondere che, ahimè, questa obiezione rappresenta un quadro veritiero di come moltissime organizzazioni intendano le certificazioni, soprattutto se non di stampo anglosassone.

Quando si guardano i questionari di due diligence di intermediari, agenti e fornitori, quanti di loro rispondono “Sì” quando gli viene chiesto se hanno adottato efficacemente un programma di conformità per l’etica, la politica anti-corruzione e la formazione relativa? Credo proprio che non siano tanti e che, tra quelli che rispondono positivamente, qualcuno non risponda al vero, consapevolmente o meno.

La verità è che l’attuazione di Sistemi di Gestione Anti-Corruzione ed Etici in generale è ancora nello “stadio dell’infanzia” in gran parte del mondo, dove non assolutamente prevista in certe zone. Più riusciranno, governanti, manager e consulenti di compliance ad imporre l’utilizzo di uno standard, più facilmente i responsabili della compliance di un’organizzazione potranno comprendere le esigenze di attuare programmi di conformità “efficaci” che contribuiscano a liberare il mondo dalla piaga della corruzione.

La norma ISO 37001 fornisce un punto di riferimento davvero globale per le organizzazioni di tutto il mondo che vogliano contribuire al raggiungimento di questo ambizioso obiettivo. Se la vostra organizzazione vuole andare al di sopra e al di là dei requisiti della norma ISO 37001, lo faccia con tutti i mezzi! Nessuno vieta di fare di più. Ma questo non significa che non vi sia alcun valore nell’avere uno standard globale, che comunque, come tale, deve essere genericamente impostato per essere adattabile a tutte le organizzazioni, sul quale operare le necessarie attività di adattamento.

Terza obiezione.

Sul mercato si “tufferanno” una moltitudine di enti certificatori e consulenti più o meno qualificati.

In effetti, così come accade in ogni settore del Risk & Compliance Management, non mancheranno le scelte per le attività di consulenza propedeutiche alla realizzazione dei Sistemi di Gestione Anti-Corruzione e per le attività di certificazione. Istintivamente, le organizzazioni che intendano attuare e farsi certificare un Sistema di Gestione Anti-Corruzione tenderanno a scegliere i “nomi” più noti a livello internazionale, pensando che solo questi potranno garantire il necessario livello di esperienza. Ma, attenzione!Non è il nome che conta, quanto la certezza del livello di esperienza dei singoli componenti i team di lavoro. Spesso, la grande firma della consulenza non invia presso le organizzazioni team composti da “guru” della materia, per cui non si ha la certezza del livello di competenza ed esperienza dei propri consulenti (per non parlare delle volte che vengono inviati dei junior consultants, entusiasti e volenterosi, ma niente più)… La chiave di volta è l’effettività delle competenze delle persone che, a vario titolo, si offriranno come consulenti, auditors, organi di vigilanza, formatori.

Competenze che devono essere certificate. Ma di questo ne parleremo in un prossimo articolo…