L’indagine DNV rivela che le maggiori preoccupazioni delle aziende riguardano la compliance, la reputazione e i rischi etici. Al vertice dei motivi per applicare misure anticorruzione si colloca infatti l’esigenza di soddisfare i requisiti legali (78%). Senza dubbio l’applicazione di best practice accettate, come gli standard ISO, può facilitare la conformità alle normative e migliorare la capacità di gestire anche altri rischi. L’adozione di un sistema anticorruzione di gestione conforme agli standard è però stata inizialmente lenta, ma sembra ora accelerare. Nel 2018 solo 389 organizzazioni erano certificate ISO 37001 e, sebbene nel 2021 siano diventate 2.896, si tratta di un numero ancora molto limitato rispetto, ad esempio, a oltre un milione di organizzazioni a livello globale certificate ISO 9001, lo standard dei sistemi di gestione della qualità.
I vantaggi di un approccio proattivo
È solo dopo che all’interno dell’organizzazione si è verificato un caso di frode, spesso con pesanti conseguenze in termini di perdite finanziarie e multe, che molte aziende iniziano un percorso strutturato, in alcuni casi rivolto anche alla certificazione ISO 37001. Una conferma indiretta del fatto che la maggior parte delle imprese trarrebbe vantaggio da un approccio proattivo anziché reattivo.
La norma ISO 37001 offre a qualsiasi tipo organizzazione requisiti e linee guida per stabilire, implementare, rivedere e migliorare un sistema di gestione anticorruzione. I requisiti sono progettati per contribuire a prevenire, rilevare e rispondere alla corruzione, oltre che per l’aderenza alle leggi e gli impegni volontari anticorruzione. La certificazione ISO 37001 garantisce agli stakeholder, interni ed esterni, che l’azienda ha messo in atto, mantiene e migliora costantemente efficaci misure anticorruzione.
La certificazione ISO 37001 copre principalmente la corruzione ma è possibile includere nell’ambito del sistema di gestione altri aspetti come le frodi o il riciclaggio di denaro, inclusi in conformità con la legislazione vigente e le buone pratiche pertinenti.
La creazione di un sistema di gestione dei reclami certificato ISO 37001 contribuisce sicuramente a migliorare la comprensione dei rischi, sia all’interno dell’azienda sia lungo la catena di fornitura. E, soprattutto, consente un approccio proattivo invece che reattivo al problema. Molto spesso gli autori di questi reati mostrano già comportamenti a rischio. È probabile che un sistema di gestione che comprenda corsi di sensibilizzazione e meccanismi di whistleblowing rafforzi la capacità di prevenire o individuare le problematiche da gestire in qualsiasi organizzazione.
Cosa stanno scoprendo le aziende certificate ISO 37001?
L’analisi approfondita dei dati di tutti gli audit eseguiti nel 2022 da DNV sui sistemi di gestione anticorruzione presenta una panoramica unica sulle aree che le aziende certificate ISO 37001 considerano più impegnative. Sapere dove si trovano effettivamente i rischi, infatti, consente di adottare misure correttive più efficaci.
Le aree dello standard che generano maggiore preoccupazione sono il Capitolo 7 - Supporto, e il Capitolo 8 - Attività operative, nei quali vengono riscontrati rilievi rispettivamente nell’83% e 88% delle aziende. Per circa il 50 % delle aziende, nel primo caso, e il 62% nel secondo, si tratta di non conformità e pertanto devono essere implementate azioni correttive per essere pienamente conformi ai requisiti ISO 37001.
Dai risultati traspare che causano problemi anche il Capitolo 4 - Contesto dell’organizzazione, e il Capitolo 5 - Leadership, con rilievi rispettivamente del 76% (32% con non conformità) e del 71% (34% con non conformità).
Si noti che questi quattro capitoli, unitamente al Capitolo 9 - Valutazione delle prestazioni, contengono un livello di requisiti obbligatori molto più elevato rispetto agli altri capitoli della norma. L’elevato numero di non conformità in quegli ambiti, tuttavia, si può quasi certamente attribuire al livello di maturità. Ci si può pertanto attendere un miglioramento man mano che le organizzazioni migliorano i propri sistemi di gestione e la relativa implementazione.
Se si approfondiscono i sottoparagrafi dello standard, analizzando i rilievi e le non conformità più comuni, è chiaro che la due diligence, la valutazione dei rischi e i controlli devono essere ulteriormente affrontati nella maggior parte delle aziende.
La maggiore concentrazione di rilievi nel Capitolo 8 – Attività operative deriva dal fatto che questo capitolo si applica a tutti i processi dell’organizzazione. A titolo esemplificativo, comprende lo svolgimento della due diligence applicata a persone, partner commerciali, attività, progetti, transazioni e operazioni straordinarie, quali fusioni e acquisizioni. Accade di frequente che la due diligence anticorruzione venga confusa con altre attività di due diligence già in uso nell’organizzazione, anche se i processi sono diversi e separati.
L’elevato numero di criticità nel Capitolo 4 - Contesto dell’organizzazione dimostra una mancanza di documentazione nel sistema, mentre quella nel Capitolo 5 – Leadership suggerisce un insufficiente impegno da parte del management o una gestione non corretta dei conflitti di interesse. Il Capitolo 7 – Supporto contiene i requisiti applicabili alle risorse umane in termini di gestione del processo di selezione, reclutamento del personale, comunicazione interna, gestione delle politiche di remunerazione e incentivi, e formazione in materia di anticorruzione. I rilievi rispetto al capitolo 9 – Valutazione delle prestazioni si riferiscono a carenze nel monitoraggio del sistema di gestione anticorruzione, che è essenziale gestire in modo corretto in un’ottica di miglioramento.
Se è vero che in queste aree centrali anche le aziende certificate possono e devono migliorare, il vantaggio che presentano queste imprese è la consapevolezza dei rischi e degli aspetti sui quali concentrare gli sforzi di miglioramento. Come dimostra la survey DNV, comunque, le aziende che si limitano a implementare solo una politica anticorruzione avranno un controllo limitato sui propri rischi o sui mezzi per scoprire e gestire un eventuale caso di corruzione.