ISO 37001: i nuovi sistemi di gestione del rischio corruzione

La norma ISO 37001 fornisce un approccio globalmente accettato per la conformità anti-corruzione e rappresenta un passo significativo nella continua globalizzazione della lotta al fenomeno corruttivo. Le società possono utilizzare questa nuova certificazione come uno strumento che alza “l’asticella” per le attività di conformità e la consapevolezza del rischio corruzione.

Appare difficile formulare una stima dei costi economici derivanti dal fenomeno corruttivo. Si consideri che, secondo la World Bank, vengono pagate ogni anno oltre mille miliardi di dollari di tangenti e viene perso a causa della corruzioni circa il 3% del PIL mondiale. Applicando tale percentuale al nostro Paese, il Procuratore Generale della Corte dei Conti ha individuato nel 2009 l’onere sui bilanci pubblici “nella misura prossima a 50/60 miliardi di euro l’anno, costituenti una vera e propria tassa immorale e occulta con i soldi prelevati dalle tasche dei cittadini” (Corte dei Conti, Giudizio sul rendiconto generale dello Stato 2008, memoria del Procuratore Generale, udienza del 25 giugno 2009, Roma, p. 237).

1. L’ISO 37001

Il 15 ottobre del 2016 l’ISO[1] ha pubblicato l’Anti-Bribery Management System (“Sistema di Gestione Anticorruzione”) che detta specifici standardin materia di prevenzione alla corruzione. Si tratta di una norma di tipo A, quindi certificabile, che si appresta a diventare il primo parametro internazionale per la costruzione dei Sistemi di Gestione Anticorruzione.

L’ISO 37001 ha definito i requisiti del Sistema di Gestione Anticorruzione, al fine di supportare le organizzazioni pubbliche e private nel combattere e prevenire la corruzione, e diffondere una cultura basata sull’etica e sulla buona condotta.

Trattasi di una novità a lungo attesa, elaborata dal Comitato Tecnico ISO/PC 278 “Anti-bribery management system” e pubblicata dopo ben tre anni di gestazione.

Il 20 dicembre 2016 il Presidente dell’UNI (Ente Nazionale italiano di Unificazione) ha ratificato il corpo normativo UNI ISO 37001:2016, che costituisce l’adozione nazionale (in lingua italiana) della norma internazionale ISO 37001.

2. I vantaggi della ISO 37001

Tale standard, di portata internazionale, aiuterà le aziende, di ogni dimensione e di tutti i settori, ad evitare o mitigare i costi ed i rischi connessi al verificarsi di episodi di corruzione, aumentando inoltre la fiducia del mercato nelle modalità con cui l’impresa svolge la propria attività.

Nonostante la conformità a questa normativa non garantisca dunque una totale eliminazione del rischio, l’adesione alle indicazioni contemplate dall’ISO potrà tuttavia supportare l’organizzazione nell’attuare misure ragionevoli e proporzionali in grado di impedire il verificarsi di episodi di corruzione, e potrà contribuire all’armonizzazione delle misure preventive a livello globale, oltre che alla razionalizzazione dei controlli interni.

La scelta di una società di certificarsi ISO 37001 incrementa l’efficacia degli strumenti di contrasto al fenomeno corruttivo, con conseguenti vantaggi economici. Attraverso l’implementazione della ISO 37001, inoltre, è possibile andare oltre il rispetto dei requisiti minimi legali e adottare un approccio sistemico rivolto alla prevenzione e al contrasto della corruzione.

In sostanza, il conseguimento della certificazione genererà indiscussi vantaggi per le imprese:

• sul piano etico e dell’innovazione, permetterà di avere uno standard di prevenzione e contrasto della corruzione conforme alla best practice internazionale e di riconosciuto valore in Italia e nel mondo;
• sul piano della competitività, le imprese certificate si distingueranno dalle altre agli occhi dei loro clienti e in determinati settori potranno aumentare le loro chances di aggiudicarsi lavori e commesse;
• dal punto di vista della governance, gli amministratori di un’impresa che otterrà la certificazione avranno assolto il proprio dovere di assicurare che l’impresa abbia un idoneo e adeguato sistema di prevenzione dei rischi connessi alla corruzione;
• sul piano finanziario e dei rapporti con gli investitori, i quali già oggi risultano sempre più attenti a destinare i propri investimenti a imprese che garantiscano elevati standard di etica, la certificazione apparirà come un indice di legalità e sostenibilità del proprio business;
• sul piano della mitigazione del rischio sanzionatorio ex D. Lgs. n. 231/2001, la certificazione rilasciata da un ente autorevole e indipendente costituirà evidenza concreta sia della mancanza di gravi carenze organizzative, evitando l’applicazione di misure cautelari molto incisive, sia della adozione ed efficace attuazione di un idoneo modello organizzativo anti-corruzione, aumentando le chances per l’ente di ottenere l’esenzione da responsabilità;
• sul piano della compliance, la certificazione comporta l’introduzione delle metodologie che le normative ISO sono in grado di garantire (soprattutto in termini di cura della documentazione e di cultura del miglioramento continuo);
• in relazione alla disciplina nazionale degli appalti pubblici, la certificazione faciliterà l’acquisizione del rating di legalità da parte dell’Autorità garante della concorrenza e del mercato, del rating di impresa da parte dell’Autorità nazionale anticorruzione, e l’accesso alla procedura di “self cleaning” alle imprese al cui interno siano stati commessi reati di corruzione.

3. Gli elementi caratterizzanti della ISO 37001

Le principali componenti del Sistema di Gestione Anticorruzione definite da ISO 37001 sono:

• Bribery Risk Assessment: valutazione dello specifico rischio corruzione;
• Leadership and Commitment: definizione di un modello di supervisione di senior e middle management;
• Anti-Bribery Compliance Function: nomina della funzione di Responsabile della compliance Anti-Corruzione;
• Policy Anti-Corruption: redazione di una procedura anti-corruzione;
• Resources: individuazione e disposizione di risorse necessarie per la creazione, l’implementazione, la manutenzione e il miglioramento continuo del Sistema di Gestione Anticorruzione;
• Training: organizzazione di corsi sulla specifica materia;
• Communication: comunicazioni interne ed esterne relative al Sistema di Gestione Anticorruzione;
• Due Diligence: analisi del rischio corruzione in relazione alle singole specifiche operazioni, progetti, attività e partner commerciali;
• Financial Controls: previsione di modalità di gestione delle risorse finanziarie idonee ad evitare il rischio corruzione;
• Non Financial Controls: implementazione di controlli specifici sui processi aziendali di natura non finanziaria;
• Raising Concerns: attuazione di procedure che incoraggiano e consentono alle persone di segnalare condotte corruttive sospette;
• Monitoring: miglioramento continuo attraverso il monitoraggio, la misurazione, l’analisi e la valutazionedel Sistema di Gestione Anticorruzione;
• Internal Audit: conduzione di audit interni ad intervalli pianificati per fornire informazioni sulla conformità del Sistema di Gestione Anticorruzione ai requisiti della ISO 37001.

4. I principali riferimenti normativi a livello internazionale

Oltre a quello nazionale (con l’introduzione del D. Lgs. n. 231/2001), anche altri ordinamenti hanno già da tempo introdotto delle disposizioni volte ad attribuire agli enti una forma di responsabilità, laddove gli stessi non contribuiscano in modo proattivo alla lotta contro il fenomeno corruttivo, fenomeno rispetto al quale i soli presidi dell’ordinamento statale appaiono sempre più spesso insufficienti.

Nel luglio 2011 è stato approvato nel Regno Unito il Bribery Act 2010, applicabile non solo agli enti britannici operanti nel Regno Unito, ma anche alle organizzazioni britanniche (costituite in UK) operanti al di fuori del Regno Unito e alle organizzazioni non britanniche che svolgono attività, anche solo in parte, nel Regno Unito. Le società rispondono delle condotte delle associated persons, che compiono il reato di corruzione al fine di ottenere o mantenere affari o vantaggi per il business delle stesse società, laddove sia ravvisabile una mancata prevenzione della corruzione (failure of commercial organisations to prevent bribery).

La normativa prevede la possibilità per l’ente di difendersi, dimostrando che, a fronte di un episodio corruttivo, erano state implementate adeguate procedure volte ad impedire il compimento di atti corruttivi. Al fine di individuare tali protocolli, nel marzo 2011 il Ministero della Giustizia ha pubblicato la Guidance about procedures which relevant commercial organisations can put into place to prevent persons associated with them from bribering (Section 9 of the Bribery Act 2010), ovvero una guida relativa alle procedure che possono essere adottate per impedire alle persone associate alle aziende di compiere atti di corruzione.

Prendendo in considerazione la normativa statunitense, il Foreign Corrupt Practices Act (FCPA) del 1977 (successivamente modificato nel 1988 e nel 1998) sanziona ogni condotta volta a corrompere, anche in modo indiretto, funzionari stranieri con la finalità di ottenere o mantenere un affare. Con riferimento all’ambito applicativo, i destinatari dell’atto legislativo sono le società che vendono e comprano titoli negli Stati Uniti (issuers), le società costituite negli Stati Uniti o che mantengono la loro principale attività negli Stati Uniti (domestic concern), così come ogni società che compie atti nel territorio statunitense. Ai fini dell’applicabilità del FCPA, è stato ritenuto sufficiente che una parte della condotta (come l’invio di una e-mail o di un fax, ovvero l’effettuazione di un pagamento per il tramite del sistema bancario americano) sia stata perfezionata nel territorio degli Stati Uniti, e addirittura – secondo quanto stabilito nel FCPA a resource guide to the U.S. Foreign Corrupt Practices Act, November 2012 – appare sufficiente che una società, indipendentemente dalla commissione di un atto negli Stati Uniti, favorisca, supporti o concorra con un issuer o un domestic concern nel compimento di un atto di corruzione.

Anche nell’esperienza statunitense, sono state introdotte delle linee guida per l’adozione di un efficace programma di prevenzione dei reati. Si veda, in particolare, il Chapter Eight – Organisational Guidelines delle Federal Sentencing Guidelines del 1991, nel quale sono indicati i contenuti minimi per l’implementazione di idonei compliance and ethics programs. Come noto, l’adozione di un efficace programma rappresenta meramente una circostanza attenuante che comporta una mitigazione della pena, la quale tuttavia non può operare laddove la condotta illecita sia stata posta in essere da parte di un soggetto apicale.

Il 9 dicembre 2016 in Francia è stata promulgata la legge n. 2016-1691 sulla trasparenza, la lotta alla corruzione e la modernizzazione dell’economia (cosiddetta Sapin II). La Sapin II si applica alle ipotesi di corruzione poste in essere da parte di imprese francesi e di società straniere che esercitano tutte o alcune delle proprie attività sul territorio francese. La Sapin II ha creato una nuova agenzia anticorruzione nazionale denominataAgence Française Anticorruption (AFA), che ha il potere di ottenere informazioni, condurre interviste ed effettuare ispezioni in loco.

Le aziende con oltre 500 dipendenti o un fatturato annuo di oltre 100 milioni di euro dovranno adottare un adeguato Sistema di Gestione della Compliance e del Rischio Corruzione, in assenza del quale la società ed i suoi amministratori saranno ritenuti responsabili dalla costituita AFA.

Ai sensi della Sapin II, una società può quindi essere sanzionata per la mancata adozione del citato sistema, senza che sia stato preventivamente commesso alcun reato presupposto, a differenza della legislazione britannica e di quella italiana, le quali non sanzionano un’organizzazione per la mancata adozione, rispettivamente, delle Adequate Procedures o del modello ex D. Lgs. n. 231/2001.

Quindi la legislazione britannica, quella statunitense e quella francese, che hanno un ambito applicativo ben superiore a quello dei rispettivi confini nazionali, richiedono che le società si dotino di procedure, in grado di prevenire il compimento di condotte corruttive. L’introduzione della certificazione ISO 37001 contribuisce certamente a quella oramai costante spinta alla globalizzazione della lotta al fenomeno corruttivo, che potrà sempre più spesso essere combattuto con strumenti standardizzati e diffusi su scala globale.

5. Il rapporto tra la ISO 37001 e il D. Lgs. n. 231/2001

Fin da subito, ci si è chiesti quale rapporto vi fosse tra la ISO 37001 e le legislazioni nazionali vigenti, relative alla prevenzione della corruzione.

Va chiarito che la norma non supera in nessun modo le leggi di riferimento (ovvero il D. Lgs. n. 231/2001 e la legge n. 190/2012), ma rappresenta con certezza una best practice per l’adozione di sistemi di prevenzione della corruzione, come richiesti dalle citate disposizioni normative.

Va detto inoltre che mentre un modello ex D. Lgs. n. 231/2001 si concentra sui fenomeni di corruzione a vantaggio dell’ente, un sistema di gestione conforme alla norma ISO 37001 dovrà efficacemente prevenire anche i fenomeni di corruzione passiva a vantaggio della persona fisica, elemento sul quale la legge n. 190/2012 già si concentra.

L’allegato A della norma ISO 37001 contiene alcune linee guida su come possono essere attuati i requisiti della norma, tra i quali, in particolare:

• il risk assesment, che come noto è un elemento fondante dei modelli ex D. Lgs. n. 231/2001;
• la due diligence, per valutare il rischio di corruzione cui si espone la società, nel momento in cui entra in rapporti con dipendenti, clienti, fornitori, partner commerciali, titolari e soci in affari a vario titolo, elemento che ogni modello ex D. Lgs. n. 231/2001 dovrebbe prendere in considerazione, ma troppo spesso sottovalutato.

Appare utile considerare che le Linee Guida Confindustria sottolineano come “implementare un sistema certificato di misure organizzative e preventive è segno di un’inclinazione dell’ente alla cultura del rispetto delle regole, che sicuramente può costituire la base per la costruzione di modelli tesi alla prevenzione dei reati-presupposto”.

Le medesime linee guida evidenziano tuttavia come “l’adozione di un sistema certificato di gestione aziendale non mette l’ente al riparo da una valutazione di inidoneità del modello ai fini della responsabilità da reato. Di conseguenza, le organizzazioni che abbiano già attivato processi di autovalutazione interna, anche certificati, dovranno focalizzarne l’applicazione – qualora così già non fosse – su tutte le tipologie di rischio e con tutte le modalità contemplate dal decreto 231”.

Per tale ragione, in una logica di ottimizzazione dei modelli organizzativi, “sarà importante valorizzare la sinergia con la documentazione (articolata di solito in manuali interni, procedure, istruzioni operative e registrazioni) dei sistemi aziendali in materia antinfortunistica (UNI-INAIL o OHSAS 18001), ambientale (EMAS o ISO 14001), di sicurezza informatica (ISO 27001) e di qualità (ad esempio ISO 9001, nonché le altre norme volontarie distinte per tipologia di prodotti e/o servizi offerti)” (vedi Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231, approvate il 7 marzo 2002 e aggiornate al marzo 2014; p. 32).

Circa i rapporti tra efficacia del modello e certificazioni ottenute, l’art. 30 del D. Lgs. n. 81/2008 riconosce alla certificazione dei sistemi aziendali in materia antinfortunistica valore di presunzione di conformità del modello stesso (ma non di esenzione automatica) con riferimento ai soli rischi legali ai reati di cui all’art. 25-septies D. Lgs. n. 231/2001.

In via analogica, in mancanza di una precisa indicazione legislativa, potrebbe poi essere argomentato che i sistemi di gestione ambientale realizzati in conformità alla norma ISO 14001 possano ragionevolmente essere considerati potenzialmente idonei alla gestione dei rischi relativi ai reati ambientali di cui all’art. 25-undecies D. Lgs. n. 231/2001.

Quindi, un modello 231 integrato con la ISO 37001 e che, in analogia alle certificazioni sul sistema di gestione ambientale, possa vantare una certificazione di qualità riguardo alla gestione dei processi e dei controlli posti a presidio dei reati di corruzione, potrà essere di ausilio nell’ambito dei procedimenti penali quale ulteriore elemento a dimostrazione della fraudolenza della condotta esercitata dall’autore del reato, e quale prova della contrarietà e della estraneità dell’organizzazione al fatto corruttivo, ma non potrà in alcun modo venirgli attribuita valenza di presunzione di conformità, né tantomeno di automatica esenzione da responsabilità.

In definitiva, un ente già dotatosi del modello ex D. Lgs. n. 231/2001 e del piano anticorruzione ai sensi della legge n. 190/2012 ha certamente convenienza nell’implementare anche un sistema di gestione anti corruzione certificato, dal momento che quest’ultimo consente all’ente di fare propria una metodologia globalmente riconosciuta per la gestione complessiva dei rischi di corruzione. Successivo obiettivo sarà quello di comprendere nell’ambito di un unico sistema di gestione i plurimi sistemi di controllo richiesti dalle diverse normative anticorruzione applicabili.