Archivio mensile Settembre 2021

DiDEEP BUSINESS

La segnalazione dei sospetti

Il quadro secondo il punto 8.9 della normativa e la tematica del “whistleblowing”

Per favorire l’eventuale segnalazione di sospetti, devono essere attuate procedure che consentano di segnalare, “in buona fede e sulla base di una ragionevole convinzione”:

  • atti di corruzione, compiuti, tentati o presunti;
  • violazioni o carenze del sistema di gestione per la prevenzione della corruzione.

La norma prevede la possibilità di effettuare segnalazioni in forma anonima e, qualora il segnalante si identifichi, le segnalazioni devono essere trattate in modo confidenziale, al fine di proteggere l’identità del segnalante e di coloro che risultano coinvolti nella segnalazione, con il limite dettato dalle necessità di indagine o dalle richieste di Pubbliche Autorità.

A tal proposito l’organizzazione dovrà applicare quanto previsto dalla legislazione vigente del Paese in cui lo standard è applicato e laddove non siano consentite segnalazioni in forma anonima e in via confidenziale, dovrà documentare (ad es. nella procedura delle segnalazioni) l’impossibilità di conformarsi al requisito, specificando i riferimenti di legge che vengono applicati.

Il personale deve essere edotto sulle procedure di segnalazione e deve essere consapevole dei propri diritti e delle tutele riservate a coloro che effettuano segnalazioni nonché delle conseguenze previste in caso di segnalazioni false o non veritiere.

In questo ambito rientra l’espressa previsione (ad esempio nella politica, nei contratti, nelle procedure) da parte dell’organizzazione del divieto di ritorsioni, e del corrispondente diritto a non subirne, per coloro che effettuano segnalazioni, nei termini previsti da questo requisito e da quanto previsto dal punto 7.2.2.2 della norma.

In questo scenario si inserisce anche la tematica del “whistleblowing” ovvero delle cosiddette “soffiate”: qualora vi siano disposizioni di legge per la disciplina delle segnalazioni (In Italia, la legge 179 del 30/11/2017) occorre verificare che l’organizzazione abbia identificato i relativi obblighi e li abbia integrati nelle proprie procedure.

Tali obblighi potrebbero riguardare, ad esempio, le modalità di trasmissione della segnalazione in via cartacea (es: cassetta presente presso il luoghi di lavoro) o elettronica (casella e-mail dedicata, sito web ecc…) ovvero della garanzia dell’anonimato della segnalazione in funzione dell’eventuale utilizzo nell’ambito di procedimenti disciplinari, indagini di polizia giudiziaria, etc.

DiDEEP BUSINESS

La “Due Diligence”

L’approfondimento della natura e dell’estensione dei rischi anticorruzione

Il processo di due diligence, incluso tra i “controlli” del Punto 8 della norma, è volto ad approfondire natura ed estensione dei rischi di corruzione e rappresenta anche un controllo “aggiuntivo e mirato” per mitigare i rischi.

La due diligence può riguardare categorie di transazioni, progetti, attività, soci in affari e membri del personale dell’organizzazione per le quali la valutazione dei rischi abbia rilevato un livello di rischio di corruzione superiore al basso.

Il percorso metodologico indicato dalla norma è il seguente:

  • nell’ambito della valutazione dei rischi l’organizzazione identifica le categorie di transazioni, progetti, attività e soci in affari con rischi di corruzione superiori al livello basso;
  • per queste categorie si prevede l’effettuazione di una due diligence diretta a ottenere informazioni più approfondite per valutare il rischio di corruzione;
  • la due diligence deve essere ripetuta a intervalli pianificati in modo da assicurare l’aggiornamento delle informazioni;

La norma non stabilisce le modalità di esecuzione della due diligence che l’organizzazione deve definire in funzione della propria capacità di ottenere sufficienti informazioni, dei costi per reperire queste informazioni e dell’entità dei rischi derivanti, ad esempio, dalla relazione con i soci in affari.

Con riferimento a questi ultimi l’Allegato A) riporta, a titolo di esempio, alcuni elementi che potrebbe essere utile approfondire ai fini della valutazione dei rischi:

  • esercizio legittimo dell’attività da parte del socio in affari in base alle normative vigenti (anche fiscali);
  • competenze, esperienza e professionalità del socio in affari, comprese le risorse necessarie, per l’esecuzione dell’incarico che si intende affidare;
  • notizie di pubblico dominio che riguardino il coinvolgimento del socio in affari in atti di corruzione, condotte fraudolente o illeciti analoghi;
  • esistenza di procedimenti a carico del socio in affari per fatti di corruzione o illeciti analoghi;
  • adozione da parte del socio in affari di un sistema per la prevenzione dei rischi di corruzione;
  • notizie e informazioni relative ad azionisti e Alta Direzione dei soci in affari;
  • struttura e forma del contratto o degli incarichi e delle modalità di pagamento.

DiDEEP BUSINESS

Obiettivi anticorruzione e relativa pianificazione

L’analisi del punto 6.2 della norma

La definizione di obiettivi chiari, raggiungibili e misurabili è uno degli elementi fondamentali per monitorare e migliorare l’efficacia del sistema di gestione.

Gli obiettivi devono prevedere azioni ed interventi “cosa sarà fatto” idonei a conseguire i “risultati” attesi nell’ambito del sistema di gestione per la prevenzione della corruzione e ai fini del miglioramento dei livelli di rischio.

Affinché questi obiettivi non restino mere dichiarazioni di intenti occorre che siano stabiliti, in modo documentato, tempi, risorse, responsabilità per il loro conseguimento e le conseguenze derivanti dalla mancata attuazione.

Condizione necessaria è, ovviamente, che gli obiettivi siano comunicati a tutto il personale coinvolto nel loro raggiungimento e rivisti periodicamente.

Seguono alcuni esempi, i quali sono da considerarsi meramente indicativi poiché ciascuna Organizzazione che voglia implementare un Sistema di Gestione Anticorruzione secondo lo standard ISO 37001, deve condurre tale analisi in funzione delle proprie caratteristiche, della valutazione dei rischi, e della propria politica per la prevenzione della corruzione:

  • Adozione di un software gestionale per migliorare il monitoraggio aziendale del ciclo attivo e del ciclo passivo;
  • Integrazione della procedura relativa agli approvvigionamenti prevedendo la richiesta di più preventivi;
  • Riduzione degli importi al di sopra dei quali è necessario un doppio livello di autorizzazione per le richieste di finanziamenti;
  • Incremento della quota prevista per la rotazione del personale ricoprente ruoli critici e più esposti a dinamiche corruttive;
  • Adozione di un sistema telematico per la gestione del whistleblowing;

Una volta stabiliti gli obiettivi sarà necessario monitorare quali siano i risultati derivanti dall’attuazione dell’obiettivo in termini di contenimento e miglioramento dei livelli di rischio di corruzione.

DiDEEP BUSINESS

Le deleghe nel processo decisionale nella UNI ISO 37001:2016

Il punto 5.3.3 della norma

La specifica considerazione del punto in esame rappresenta una novità rispetto alle altre norme ISO in quanto vengono stabiliti, ai fini della conformità alla norma UNI ISO 37001, i requisiti del processo di delega per il contenimento dei rischi di corruzione.

Il focus della norma riguarda infatti attività/processi che presentano rischi di corruzione superiori al livello basso, rispetto ai quali l’Alta Direzione abbia deciso di delegare a soggetti terzi l’autorità di prendere (in tutto o in parte) decisioni che spetterebbero ad essa.
Con il trasferimento dell’autorità di prendere decisioni si determinano anche le conseguenti responsabilità in capo al delegato, che si aggiungono a
quelle dell’Alta Direzione (o dell’Organo Direttivo, se presente).

La norma non entra nel merito dell’efficacia liberatoria e dell’opponibilità ai terzi della delega le quali dipendono dai requisiti di legge applicabili caso per caso.

Due sono invece le condizioni dettate dalla norma UNI ISO 37001.

  • La prima di natura generale, riguarda l’attribuzione al delegato di poteri (e risorse) adeguati per decidere e attuare le proprie decisioni “con autorità” rispetto a quanto oggetto di delega. Diversamente, il trasferimento ad altri soggetti del potere di prendere decisioni in seno all’organizzazione risulterebbe meramente fittizio;
  • In secondo luogo, tra i requisiti di “idoneità” che il delegato deve possedere e mantenere nel tempo vi è quello dell’assenza di conflitti di interesse (attuali o potenziali) rispetto alle decisioni che viene chiamato a prendere all’interno dell’organizzazione;

Pertanto, se l’Alta Direzione abbia deciso di delegare l’autorità di assumere decisioni in relazione a cui sussista un rischio di corruzione superiore al livello basso, devono esserci una procedura o dei controlli a presidio di queste condizioni.

Come detto, in caso di delega l’Alta Direzione non può disinteressarsi delle proprie responsabilità per l’osservanza e l’attuazione del sistema per la prevenzione della corruzione; pertanto la norma UNI ISO 37001 richiede all’Alta Direzione di sottoporre a verifica periodica i processi di delega.

DiDEEP BUSINESS

La valutazione del rischio corruzione

Il punto 4.5 della UNI ISO 37001:2016

Per la norma UNI ISO 37001, come per le altre norme ISO sui sistemi di gestione, l’analisi e la valutazione dei rischi rappresenta l’elemento alla base della progettazione, dell’attuazione e del mantenimento del sistema di gestione per la prevenzione della corruzione.

La corruzione rappresenta uno dei fattori che può influire sull’attuazione delle strategie dell’organizzazione e sul raggiungimento dei suoi obiettivi, in primis in termini di compliance e di gestione etica del business.

Il requisito della norma UNI ISO 37001 non prevede una specifica metodologia per la valutazione e il trattamento dei rischi di corruzione, ma definisce i passaggi fondamentali che l’organizzazione deve mettere in atto per pianificare e attuare il sistema di prevenzione (cd “risk based approach”).

La valutazione del rischio corruzione parte dall’analisi degli elementi esterni ed interni del contesto dell’organizzazione, compresi i requisiti degli stakeholder, rilevanti ai fini del raggiungimento degli obiettivi fissati dal sistema di gestione per la prevenzione della corruzione.
Sulla base delle informazioni relative al proprio contesto, secondo la norma UNI ISO 37001, l’organizzazione deve:

  • identificare i rischi di corruzione che “possa ragionevolmente” prevedere;
  • analizzare e ponderare i rischi di corruzione identificati in modo da assegnare loro una scala di priorità;
  • valutare idoneità ed efficacia del sistema dei controlli esistenti a contenere i rischi stimati.

La norma richiede che l’analisi dei rischi sia documentata e comprensiva delle informazioni relative alla correlazione tra gli esiti della valutazione dei rischi e la programmazione delle misure di controllo.


Coerentemente con quanto previsto dalle norme ISO, il risk assessment è un processo dinamico e non statico.
Pertanto la norma pone particolare enfasi nella valutazione periodica del rischio corruzione presente nell’organizzazione e indica la necessità di un periodico riesame, sotteso a rilevare nuove informazioni e/o cambiamenti significativi dell’organizzazione, con l’obbligo di conservazione della documentazione atta a comprovare l’avvenuta valutazione del rischio.