ISO 37001:2016
Le check list per la verifica della conformità e la valutazione dell’adeguatezza dei controlli di prevenzione.
Per l’audit relativo alla prevenzione della corruzione le operazioni di indagine da compiere sono due: la prima è intesa a verificare la rispondenza del sistema ai requisiti della Norma, la seconda, invece, mira a valutare l’adeguatezza dei controlli di prevenzione che la norma indica espressamente al punto 8.
L’adeguatezza dei controlli nell’audit di conformità ISO 37001
L’approccio della Winple alla prevenzione della corruzione ai sensi della UNI ISO 37001:2016, riscontrabile nello sviluppo del relativo KIT documentale Procedure ISO 37001, è fortemente condizionato dalla scelta progettuale di “abbassare” il livello di rischio di corruzione “R”, intervenendo su quelle variabili che l’organizzazione può controllare grazie ai processi del sistema di gestione.
L’efficacia del sistema di gestione nell’abbassare il rischio di corruzione rilevato, proveniente dai processi, dai soci in affari e dalle operazioni che l’organizzazione conduce, dipende, come illustrato dalla figura 1, seguente:
- Dalla conformità alla Norma 37001:2016 (concepita con lo scopo della prevenzione)
- Dalla idoneità dei supporti resi disponibili dai processi (formazione, comunicazione, informazioni documentate ecc.)
- Dall’adeguatezza dei controlli di prevenzione attuati (due diligence, controlli finanziari, non finanziari, ecc.)
Mentre l’idoneità dei supporti resi disponibili è una “performance” rilevata e monitorata nell’ambito del monitoraggio delle prestazioni di cui al punto 9.1 della Norma, l’attenzione alla conformità e all’adeguatezza dei controlli applicati, assume un ruolo significativo in fase di audit, di cui al punto 9.2.
L’approccio metodologico della Winple, per il quale l’audit verifica tanto la conformità quanto l’adeguatezza dei controlli di prevenzione, con strumenti appositamente dedicati, fornisce la possibilità di dimostrare, in eventuale giudizio in caso di reato, che:
- Il “modello organizzativo” concepito dal sistema applicato è conforme alla Norma
- I controlli di prevenzione applicati possiedono tutti i requisiti che li rendono adeguati a gestire l’entità del rischio di corruzione rilevato (e circostanziato a specifici pericoli)
- Chi ha commesso l’atto corruttivo, ha messo in atto “artifici” per aggirare i controlli attuati
Le check list per l’audit e la misurazione dell’adeguatezza dei controlli
Coerentemente con il modello indicato in figura 1, e in risposta alla necessità di fornire evidenza oggettiva dell’adeguatezza dei controlli di prevenzione in caso di giudizio, la verifica di conformità prevista dall’audit impiega due check list:
Una check list di portata generale per tutta la Norma che mira a verificare la conformità a ciascun requisito. L’esempio tratto dal KIT documentale Procedure ISO 3700, nella figura 2, evidenzia che l’attenzione, in questo caso è rivolta:
- Al punto della Norma
- Al requisito
- Alla sua modalità di attuazione
- Alla documentazione di registrazione comprovante della conformità
Una check list specifica riservata alla verifica dell’adeguatezza dei controlli che focalizza l’attenzione su:
- L’esatta individuazione e classificazione del controllo di prevenzione attuato
- La modalità “operativa” con cui si verifica l’effettiva attuazione del controllo
- L’integrazione del controllo nei processi di business
- La documentazione comprovante la conformità
Come possiamo notare dall’esempio tratto nella Figura 3, dedicato ai controlli finanziari, la check list non si limita a verificarne l’applicazione nel processo di business ma, per ciascun controllo, verifica la corrispondenza a dei criteri specifici di attuazione che, unitamente ad altri requisiti, permettono di considerarlo “adeguato”.
L’esigenza della check list riservata ai controlli di prevenzione, in aggiunta alla necessità di verificare l’adeguatezza, è mossa anche da una considerazione pratica. I controlli di prevenzione attuati dal sistema di gestione del KIT di Winple sono 54, divisi nelle tipologie indicati dalla Norma al punto 8. Tale numerosità risulta agevolmente gestibile grazie alla presenza di due check list separate.