da Maineri Bruno | Ott 15, 2016 | ISO, Anticorruzione
ISO publishes powerful new tool to combat bribery
by Elizabeth Gasiorowski-Denis on 14 October 2016
ISO News feeds (RSS)
A new business tool designed to fight bribery is now published. ISO 37001 is the first international anti-bribery management system standard designed to help organizations combat bribery risk in their own operations and throughout their global value chains. It has the potential to reduce corporate risk and costs related to bribery by providing a manageable business framework for preventing, detecting and addressing bribery.
“Bribery is a significant business risk in many countries and sectors,” says Neill Stansbury, Chair of ISO project committee ISO/PC 278 responsible for the new standard. “In many cases, it has been tolerated as a ‘necessary’ part of doing business. However, increasing awareness of the damage caused by bribery to countries, organizations and individuals has resulted in calls for effective action to be taken to prevent bribery.”
Many organizations have already invested significant time and resources into developing internal systems and processes for preventing bribery. ISO 37001:2016, Anti-bribery management systems – Requirements with guidance for use, is designed to support and broaden those efforts, while providing transparency and clarity on the measures and controls that organizations should be putting in place and how to implement them most effectively and efficiently.
ISO 37001 will help prevent, detect and deal with bribery, whether such bribery is by or on behalf of an organization or its employees or business associates. Using a series of related measures and controls, including supporting guidance, the anti-bribery management system specifies requirements for:
An anti-bribery policy and procedures
Top management leadership, commitment and responsibility
Oversight by a compliance manager or function
Anti-bribery training
Risk assessments and due diligence on projects and business associates
Financial, procurement, commercial and contractual controls
Reporting, monitoring, investigation, and review
Corrective action and continual improvement
Stansbury says that ISO 37001 has been developed to ensure flexible use by organizations of all sizes, wherever they may do business. “The bribery risk facing an organization varies according to factors such as the size of the organization, the countries and sectors in which the organization operates, and the nature, scale and complexity of the organization’s operations. Therefore, ISO 37001 specifies the implementation by the organization of reasonable and proportionate policies, procedures and controls.”
Organizations may choose to be certified to ISO 37001 by accredited third parties, to confirm that their anti-bribery management system meets the standard’s criteria. Although certification (or compliance) to ISO 37001 cannot provide assurance that no bribery has occurred or will take place in relation to an organization, the standard can help establish that the organization has implemented all appropriate measures designed to prevent bribery.
ISO 37001 builds on guidance from various organizations, such as the International Chamber of Commerce, the Organisation for Economic Cooperation and Development, Transparency International and various governments, representing a global consensus on anti-bribery good practices. It was developed by ISO project committee ISO/PC 278, Anti-bribery management systems, whose secretariat is held by BSI, the ISO member for the United Kingdom.
Ulteriori informazioni sulla norma
da Maineri Bruno | Set 29, 2016 | Anticorruzione
Lotta alla corruzione: ISO 37001, strumento agile e potente. Vicinanza con normative e linee guida attuali in materia
“Secondo alcune stime della Banca Mondiale, un’efficace lotta alla corruzione produrrebbe un aumento del reddito superiore al 2,4%; le imprese crescerebbero del 3% annuo in più, inoltre consentirebbe di attrarre fino al 20% di maggiori investimenti esteri. Per quanto riguarda l’Unione Europea, si stima che l’impatto della corruzione rappresenti in media l’1% del PIL UE, cioè circa 120 miliardi di euro all’anno.” (Trasparency International giugno 2016).
Queste cifre significative danno la misura dell’entità del fenomeno, della sua universalità e del devastante impatto sulle economie mondiali. In risposta al crescente dilagare della corruzione, le varie istituzioni legislative e di vigilanza domestiche e internazionali si sono attivate in una intensa azione normativa di contrasto, di cui l’Italia vanta un importante primato con il D. Lgs. 231/2001. In particolare, a livello nazionale, la recente costituzione dell’Autorità Nazionale Anticorruzione (DPR 11 luglio 2014) e la pubblicazione in Gazzetta Ufficiale del Piano Nazionale Anticorruzione (6 agosto 2016) esprimono la risposta italiana di rafforzamento istituzionale alla prevenzione e al contrasto della corruzione.
L’Autorità Nazionale Anticorruzione (“ANAC”) ha segnalato, nella citata survey 2016 delle pubbliche amministrazioni, “una più generale difficoltà nella autoanalisi organizzativa, nella conoscenza sistematica dei processi svolti e dei procedimenti amministrativi di propria competenza, nella programmazione unitaria di tutti questi processi di riorganizzazione. In particolare riferisce l’ANAC: sono state rilevate“criticità in tutte le fasi del processo di gestione del rischio, così come nella governance generale del sistema e nella previsione, attuazione e monitoraggio delle misure.”[1].
L’analisi compiuta dall’ANAC offre un quadro piuttosto chiaro delle molteplici criticità a tutt’oggi riscontrate nella PA nella strutturazione di modelli organizzativi, nel disegno dei processi di gestione, nel monitoraggio nonché nella applicazione delle misure di prevenzione. In generale, secondo l’ANAC, il punto di grave debolezza trasversale sta nell’approccio piuttosto formale/burocratico dei piani territoriali presentati, invece di una permeante logica risk based. E in questo quadro è interessante vedere come l’ISO 37001 – approvato il 23 settembre scorso e che sarà pubblicato il prossimo 15 ottobre – può costituire un valido supporto alle aziende pubbliche, quanto a quelle private, proprio per la logica e struttura operativa risk based che lo caratterizzano.
L’ISO 37001 ha il dichiarato obiettivo di “costituire, implementare, mantenere, rivisitare e migliorare il sistema di gestione dell’anticorruzione” dell’azienda (il focus è esclusivo nella fattispecie di corruzione), dove, per sistema si intende quel complesso interconnesso di elementi dell’organizzazione volto a definire in concreto le politiche, gli obiettivi e i processi finalizzati alla lotta alla corruzione. Il top management gioca un ruolo fondamentale nel disegno e nel controllo dell’efficacia ed efficienza di questo sistema, essendone riconosciuto diretto responsabile. Numerosi sono gli elementi essenziali di costruzione del sistema, se ne evidenziano alcuni. L’analisi del contesto: la capacità di analizzare accuratamente e in concreto il contesto esterno e interno all’azienda, per poterne mappare in modo efficiente le aree di debolezza e le misure di sicurezza più adeguate, che saranno poi declinate in modo trasparente nel risk assessment. La declinazione dei parametri di valutazione è chiara e concreta: “…dimensioni, struttura, settori industriali .. aree geografiche in cui l’organizzazione opera o intende operare” , “tipologia, complessità delle attività dell’azienda e della sue modalità operative…”. L’attività di pianificazione: che dovrà avere contezza del contesto, così come dei bisogni e delle aspettative degli stakeholders dell’azienda, operando secondo una serie di concreti criteri-guida: “ …determinare cosa sarà fatto, le risorse necessarie, i responsabili, le tempistiche di raggiungimento dei risultati, le modalità di valutazione e di reporting dei risultati conseguiti….”. Nel complesso i contenuti, sia nella formulazione dei principi, così come nella descrizione degli strumenti operativi, risultano caratterizzati da un significativo approccio operativo, in ottemperanza ad una sistematica logica di gestione del rischio preventiva e/o contenitiva in concreto. I destinatari di questo sistema sono sia soggetti pubblici che privati e il modello ben si presta a costituire sia un sistema assestante anticorruzione che un elemento integrativo, in ambito anticorruzione, di modelli organizzativi anticrimine esistenti. L’approccio operativo, la flessibilità di utenza, la compatibilità del modello, la sua applicabilità multigiurisdizionale ne fanno uno strumento agile e al contempo potenzialmente efficace che presenta risonanze importanti con modelli esistenti domestici. Infatti in rapporto alla 231/2001, in materia anticorruzione, l’Iso 37001 si pone come strumento analogo nel merito in molti punti, con il vantaggio della applicazione anche all’estero della materia. Punti di comunanza importanti sono ad esempio: 1) la previsione di politiche anticorruzione ad hoc con contenuti macro chiaramente declinati, 2) la due diligence sul personale nella fase di assunzione. Anche in questo caso le modalità operative sono concrete: ad esempio: “parlare con i candidati della policy anticorruzione, formulare un’opinione sulla “capacità del candidato di comprendere e accettare il concetto di compliance”; cercare ragionevolmente di “capire se i candidati abbiano avuto precedenti in materia di corruzione, e il loro rapporto con i pubblici ufficiali….” e sui business associates, 3) nella previsione di modulazione di performances bonus in rapporto alla policy anticorruzione. L’ISO 37001 presenta infine importanti analogie strutturali anche con recenti discipline secondarie di settore come la Circolare Banca d’Italia 285/2013, con particolare riferimento al sistema dei controlli, nella versione integrata dell’11 luglio 2015 e nelle politiche di remunerazione del novembre 2014. Si evidenziano alcuni aspetti di rilievo:
i) il livello di responsabilità degli organi e del top management in rapporto alla cultura del rischio, al disegno del sistema dei controlli, alla sua implementazione e al relativo monitoraggio,
(ii) la implementazione del rapporto diretto della compliance function antibribery con il Consiglio di Amministrazione, (Guidance A5),
(iii) la previsione della piena tracciabilità, trasparenza e aggiornamento della documentazione in materia,
(iv) la cultura del rischio e la formazione al personale (Guidance A9),
(v) il principio di proporzionalità tra modello e struttura aziendale, in un sano rapporto costi – benefici di investimento (Guidance A3),
(vi) le competenze e l’esperienza alla base della selezione degli antibribey compliance specialist, e il riconoscimento all’interno dell’azienda del loro “status” (Guidance A6),
(vii) la previsione di politiche di remunerazione vis a vis compliance performances bonus in rapporto alla policy antibribery (Guidance A8.2).
Non si può infine non evidenziare anche la vicinanza di questa norma Iso con la recente versione aggiornata della Iso 9001:2015 Sistema di gestione della qualità. L’eco suona nuovamente molto familiare nei richiami all’analisi del contesto e dei fattori di rischio connessi, alle competenze, cultura e disponibilità di presenza e operatività dei membri degli organi di governo, agli obblighi di controllo degli organi di governo, alle caratteristiche precipue della funzione di controllo: adeguatezza, competenza e indipendenza. In conclusione: la visione olistica nella gestione del rischio anticorruzione e l’approccio risk based, la rendono particolarmente attuale, alla luce delle varie normative e discipline guida recentemente pubblicate e in corso di consultazione, relative alla gestione dei rischi compliance in generale e anticorruzione in particolare in Italia, nei vari contesti di mercato: soggetti privati (reato di corruzione tra privati, ottobre 2012), aziende pubbliche (nuovo DDL anticorruzione in esame), Piano Nazionale Anticorruzione (Luglio 2016), nonché al mondo della disciplina bancaria e finanziaria in continua evoluzione sopra richiamato. Quindi per i pianificatori – nelle aziende e nelle banche – questo sarà un potenziale ulteriore strumento per la quantificazione e pianificazione a budget del rischio anticorruzione e per il management delle aziende costituisce, sin d’ora, un elemento integrativo della valutazione del rischio anticorruzione e della relativa gestione nell’operatività all’estero.
[1] Con riferimento alle varie fasi il PNA registra :
Il sistema di monitoraggio sull’implementazione del PTPC “continua ad essere una variabile particolarmente critica e un miglioramento di tale aspetto è necessario per assicurare l’efficacia del sistema di prevenzione della corruzione delle singole amministrazioni confermando una certa difficoltà nell’applicazione della normativa”.
L’ Analisi del contesto interno: “Con riferimento all’analisi (mappatura) dei processi organizzativi… Nei PTPC analizzati, tendenzialmente, il numero medio di processi censiti per ciascuna area di rischio non supera le 10 unità, suggerendo un livello di analiticità piuttosto basso”.
Misure di prevenzione:” Ancora critica, seppure in miglioramento, appare la fase relativa al trattamento del rischio, sia con riferimento all’individuazione delle misure che alla loro programmazione.”
Con riferimento alle realtà composte dai Piccoli comuni il PNA denuncia:
“difficoltà di individuare eventi rischiosi e di effettuare la gestione del rischio;carente analisi del contesto esterno ed interno in oltre la metà dei PTPC analizzati e la quasi totale assenza di un sistema di monitoraggio sull’implementazione del PTPC;genericità delle misure individuate, presentate per lo più in forma di elenco e prevalentemente limitate a quelle relative alla formazione, al whistleblowing e al codice di comportamento”.
Contributo di Francesca Marchini – In2Law – Milano
da Maineri Bruno | Set 28, 2016 | Anticorruzione
Ciro Strazzeri
Presidente Asso 231
September 27, 2016 •
Venerdì 23 Settembre 2016 l’ISO Technical Committee, ISO/PC 278 “Anti-Bribery Management Systems” ha approvato, con la votazione favorevole del 90% dei propri componenti, la revisione definitiva dello Standard ISO 37001, norma di tipo A, quindi certificabile, che diventerà l’unico vero standard internazionale per l’implementazione, la gestione ed il miglioramento continuativo dei Sistemi di Gestione Anti-Corruzione.
La sua emissione ufficiale è, quindi, confermata per il 15 Ottobre 2016.
Ferma restando la validità delle legislazioni nazionali (UK Bribery Act, FCPA, D.Lgs. 231/01, L.190712, tanto per citare le più note) la norma ISO 37001 darà la possibilità agli enti pubblici, alle stazioni appaltanti ed ai grandi committenti, di trovare un “linguaggio comune” con tutti i propri stakeholders, soprattutto per coloro che operano a livello internazionale.
Ma non solo! Le aziende multinazionali potranno finalmente gestire in maniera uniforme le problematiche che sorgono nelle varie branch.
Inoltre, in Italia, ai fini dell’ottenimento del Rating di Legalità, sarà possibile avere l’evidenza oggettiva del possesso di uno dei requisiti utili al conseguimento dei “+” utili per ottenere le “stellette”, ovvero Art. 3, comma 2, lettera g) “di aver adottato modelli organizzativi di prevenzione e di contrasto della corruzione”.
Per finire, le Amministrazioni Pubbliche e le Società Controllate, potranno decidere di adottare l’ISO 37001 come strumento di gestione degli adempimenti previsti dal PNA, con le caratteristiche ISO dei sistemi di gestione e, quindi, anche integrabili con i sistemi di gestione Qualità, Sicurezza, Ambiente. Con l’ulteriore supporto ai fini della propria responsabilità, per i Responsabili Anticorruzione, della verifica di terza parte di un Ente indipendente.
Per l’occasione, ho preparato una presentazione della Norma ISO 37001, scaricabile gratuitamente facendo click sul link