Sviluppare un modello matematico semplice, nel sistema ISO 37001 per la lotta contro la corruzione nel settore privato, ai sensi del nuovo D.Lgs. 38 del 15 Marzo 2017.
La necessità di semplificare l’approccio ISO 37001:2016
Nel corso del 2022, l’Europa ha sottolineato la sua intenzione di intensificare la lotta contro la corruzione nel settore privato, in occasione della gestione dei fondi del PNRR.
Il sistema di gestione ISO 37001:2016, gestito sulla base di un modello matematico che lo precede, facilita il lavoro di consulenti ed imprese a:
- Comprendere la genesi del rischio dei processi di business e delle operazioni
- Controllare il rischio con i supporti e i controlli di prevenzione previsti dalla Norma
- Dimostrare, in caso di giudizio, le ragioni esimenti delle decisioni dell’impresa (D.Lgs. 231/01)
Questo articolo spiega come sviluppare un modello per la prevenzione del rischio corruzione tra privati mediante una efficace adozione di un sistema di gestione ISO 37001:2016
Cominciamo a sviluppare un modello
Figura 1. Modello matematico del sistema di gestione per la prevenzione della corruzione
Gli esempi, suggeriti di seguito, sono tratti dal Kit del Sistema di gestione per la prevenzione della corruzione prodotto e commercializzato da Winple.
Essi tengono conto della rimodulazione della fattispecie di cui all’articolo 2635 del codice civile (Corruzione tra privati già reato-presupposto) e dell’inserimento nel catalogo dei reati-presupposto del D.Lgs. n. 231/2001 della fattispecie di “Istigazione alla corruzione tra privati“( Art.2635-bis c.c.).
I passi da compiere per sviluppare il modello, sempre rispettando i requisiti ISO 37001, sono i seguenti:
- Stabilire la relazione tra contesto, pericoli e rischio
- Misurare il rischio: contesto, soci in affari e operazioni
- Attuare il controllo della conformità, dell’idoneità e dell’adeguatezza
- Considerare l’efficacia del sistema nell’assumere decisioni
1. Stabilire la relazione tra contesto, pericoli e rischio
Dall’analisi dei fattori di contesto da considerare indicati dalla Norma, di seguito vediamo che il modello ha individuato i fattori influenti. Quelli cioè che influenzano o possono influenzare il rischio sia nella sua presenza che nella sua entità.
Nella figura n. 2 che riporta il foglio Excel, a partire da basso, notiamo gli elementi esaminati del contesto.
Sopra gli elementi esaminati ci sono i pericoli, e cioè, quei fattori che, in relazione al contesto possono creare le condizioni per le quali può avvenire l’atto corruttivo.
Questi pericoli (fattori influenti sul rischio corruzione) vengono individuati e valutati, attraverso l’attribuzione di un punteggio, conferito in base ai criteri che leggiamo nelle rispettive tre tabelle.
- Nei processi di business dell’organizzazione
- Nei soci in affari
- Nelle operazioni di business spot che l’organizzazione conduce (progetti, gare, joint venture, ecc.)
Questa tri-partizione, che rimane costante nella ISO 37001:2016, permette di misurare e gestire il rischio di corruzione sia “a blocchi”, il che facilita interventi mirati, che nella sua totalità.
2. Misurare il rischio: contesto, soci in affari e operazioni
Il rischio di corruzione dipende dalla probabilità che l’atto corruttivo si compia e dalle sue conseguenze (I)e lo calcoliamo con la formula.
R (Rischio) = P (probabilità) X I (Impatto)
In assenza di dati tuttavia è difficile per i consulenti stabilire la probabilità che, invece in tale modello, aumenta in relazione all’aumentare della presenza dei pericoli.
Il rischio di corruzione del contesto nei processi di business
Guardando all’esempio sottostante rappresentato in figura troviamo, nella prima tabella, il livello rischio di contesto presente nei processi di business dell’organizzazione.
Nel processo commerciale, troviamo un livello di rischio (pre-controlli) pari a 10.
La sua probabilità P dipende, come vediamo, dai fattori che riteniamo possano influire sui processi. Essi, dalla tabella in basso, sono:
- Ruolo coinvolto
- Tipologia attività
- Valore attività
- Presenza soci in affari
- Presenza pubblici ufficiali
L’impatto invece I dipende da un altro elemento di pericolo che è, come vediamo in tabella, l’impatto (conseguenze) che l’atto corruttivo può avere sulle parti interessate.
Nella formula precedente pertanto, la variabile P (probabilità) è in funzione dei pericoli presenti rappresentati con X1, X2 ,X3, Xn e del loro rispettivo valore di influenza esercitata a, b, c, d, etc.
P = (ax1 + bx2 + cx3 + dxn)
Il rischio di corruzione proveniente dai soci in affari
Il rischio proveniente dai soci in affari, come vediamo dalla seconda tabella della figura in alto, è calcolato in base alla probabilità P che un socio in affari compia un atto corruttivo, che dipende dai fattori:
- Reputazione
- Categoria di appartenenza
- Precedenti penali
- Relazioni intrattenute con le persone politicamente esposte (ppe)
- Relazioni intrattenute con i pubblici ufficiali (pu)
e in base all’impatto I dell’atto corruttivo che, in questo caso illustrato sopra, si è stabilito proporzionale al valore delle transazioni in questione (contratto, joint venture, etc.).
Il rischio di corruzione che deriva dalle operazioni
Dall’ingrandimento della sezione della figura precedente, riportato in basso, osserviamo quali sono i fattori che, in relazione al contesto, riteniamo possano influire sul rischio corruzione presente all’interno delle operazioni che l’organizzazione conduce (gare d’appalto, progetti, contratti, commesse, joint venture, finanziamenti, ecc.).
La probabilità P dell’atto corruttivo dipende da:
- La copertura contrattuale
- L’influenza che è in grado di esercitare l’organizzazione
- La provenienza delle fonti finanziarie
- La straordinarietà del business
- La presenza dei pubblici ufficiali
L’impatto I, invece, coincide con l’impatto dell’atto corruttivo sulle parti interessate.
Grazie a questo metodo, il modello rappresentato nella figura precedente permette di valutare il rischio di corruzione, in relazione al contesto, distinguendo se:
- Presente nei processi di business dell’organizzazione
- Derivante dai soci in affari, con cui scegliere di lavorare
- Derivante dalle operazioni, intraprese o da intraprendere
Il livello di rischio di corruzione generale nell’organizzazione equivale alla somma dei livelli dei tre rischi.
Lo scopo del sistema di gestione della prevenzione della corruzione è quello di abbassare tale livello rischio e farlo rientrare in un valore accettabile.
3. Attuare il controllo della conformità, dell’idoneità e dell’adeguatezza
Il rischio di corruzione, presente nei processi di business e derivante dai soci in affari e dalle operazioni, è al centro dell’applicazione del sistema di gestione per la prevenzione della corruzione ISO 37001:2016.
Le variabili: conformità, idoneità e adeguatezza
I processi del sistema di gestione, stabiliti dai requisiti della norma ISO, e il sistema di gestione nel suo complesso, per esercitare influenza significativa sul rischio e moderarne l’entità devono essere:
- Conformi alla norma ISO che è stata concepita da specialisti esperti con tali finalità
- Idonei a supportare le attività di prevenzione stabilite (idoneità)
- Adeguati rispetto all’entità del rischio rilevato e da affrontare
Nella figura in basso, possiamo notare che il modello evidenzia tre azioni (di pianificazione) intese alla massimizzazione del valore di tre variabili, misurabili in valore percentuale, che sono:
- Conformità alla norma
- Idoneità dei supporti
- Adeguatezza dei controlli
Azioni e obiettivi della pianificazione
Pianificare il sistema di gestione per la prevenzione della corruzione richiede che siano determinate le Azioni per affrontare i rischi e siano determinati gli Obiettivi di prevenzione.
Nel caso illustrato sopra, alle azioni di massimizzazione di conformità, idoneità e adeguatezza, sono correlati gli obiettivi espressi dai rispettivi indici ottenuti dal sistema di misurazione che rileva i valori in corrispondenza di ciascun elemento appartenente alle tre variabili.
Gli indici restituiscono, in forma percentuale, il valore medio ottenuto dai singoli componenti delle azioni.
Il modello si basa sul presupposto che la piena conformità alla norma, l’idoneità dei supporti resi disponibili e l’adeguatezza dei controlli al livello del rischio, influiscano sull’efficacia dell’intero sistema di gestione nell’abbassare il livello di rischio rilevato.
Il modello perciò calcola l’indice di efficacia moltiplicando i tre indici precedenti. Nella figura in basso vediamo che, la moltiplicazione dei tre valori degli indici precedenti ci restituisce l’indice di efficacia teorica. Quello cioè che scaturisce dal calcolo matematico costruito in base alle nostre ipotesi.
L’efficacia teorica espressa attraverso la percentuale intende stabilire quanta parte del rischio di corruzione presente riusciamo ad abbattere.
Ad esempio se il rischio di corruzione è pari a 10 e l’indice di efficacia teorica è pari al 70%, questo significa che il nostro sistema è teoricamente in grado di portare il rischio a 3, avendo abbattuto con i suoi controlli, il 70% della sua entità:
10 (rischio iniziale) X 70% (indice di efficacia) = 7 (punti di rischio abbattuti) = rischio residuo = 3
La correzione del modello a scopo previsionale
Rispetto alla formula R (Rischio) = P (probabilità) X I (Impatto), l’organizzazione attua le sue azioni di massimizzazione di conformità, idoneità e adeguatezza per abbassare il valore P e rendere l’evento corruttivo sempre meno probabile, ancorché dannoso nel suo impatto.
Se l’indice di efficacia teorica risultasse pari a 100%, perché l’organizzazione riesce ad ottenere il massimo dalle sue prestazioni, ci si dovrebbe aspettare che il rischio di corruzione, qualunque sia la sua entità, sia riportato a zero e cioè l’evento “atto corruttivo” risulti un evento impossibile.
La “ragionevolezza” a cui ci invita la Norma ISO 37001, nella sua Appendice, tuttavia ci impone di considerare che i nostri controlli, per quanto conformi, idonei e adeguati, non riusciranno mai a tenere sotto controllo ciò che è ascrivibile alle casualità.
L’indice di efficacia teorica perciò deve essere corretto tenendo conto della “dispersione” che dipende:
- Da un certo livello di “caoticità”, stabilito dalla perizia e l’esperienza del valutatore attraverso la percentuale
- Della presenza e la frequenza di “effetti indesiderati” prodotti dal sistema: segnalazioni, violazioni, reati, etc.
Dispersione: caoticità e effetti indesiderati
L’indice di dispersione del sistema, anch’esso espresso in forma percentuale, quindi è ottenuto grazie alla somma di due componenti:
Indice di dispersione = Caoticità + Frequenza di effetti indesiderati
Quando il sistema di gestione funziona in maniera ottimale, prevenendo con efficacia la corruzione, sappiamo che non si manifestano effetti indesiderati come: tentativi di violazione, violazioni effettive, indagini, gestione di sospetti e indagini ecc.
Se invece questi effetti indesiderati si manifestano, siamo costretti a constatare che il nostro modello è meno efficace di quanto ci aspettassimo!
Quindi, dobbiamo correggerlo, per evitare di assumere decisioni errate in merito al rischio da gestire.
Quello che va corretto dunque è l’indice di dispersione. Alla caoticità già stimata dal valutatore, viene aggiunta “la frequenza” con cui accadono gli effetti indesiderati (occorrenze = n° di volte).
L’algoritmo del modello matematico perciò trasforma in “frequenza” gli effetti indesiderati e, considerando anche la caoticità (somma), suggerisce un indice di dispersione da applicare al modello per affinare la sua capacità predittiva.
L’efficacia attesa dal sistema su rischio di corruzione è misurata dall’indice di efficacia attesa ottenuto grazie alla correzione dell’indice di efficacia teorica attraverso la sottrazione:
Efficacia attesa = Efficacia teorica – Dispersione
4. Considerare l’efficacia del sistema nell’assumere decisioni
Criteri per le decisioni delegate
L’indice di efficacia atteso, misura, in termini percentuali, la capacità del sistema di abbattere il rischio di corruzione rilevato.
Applicando questa percentuale, al livello del rischio di corruzione rilevato, otteniamo il livello del rischio di corruzione corrente.
Le decisioni aziendali, ed in particolare quelle “delegate” di cui la Norma parla in riferimento all’assunzione del rischio, grazie a questo modello matematico, possono essere valutate in relazione a molteplici scenari.
Le decisioni del valutatore
Il valutatore, con il modello matematico in Excel che restituisce i risultati dei calcoli, può effettuare previsioni, sul livello di rischio che l’organizzazione può correre in relazione all’efficacia del suo sistema.
Modificando il set di valori che determinano l’indice di efficacia attesa, il valutatore può scegliere come configurare, in relazione ai vincoli di costo dell’impresa, il suo sistema di gestione per la prevenzione della corruzione assicurando che, la combinazione di questi valori, riporti il rischio rilevato ad un rischio accettabile.
Il modello matematico, in relazione a tali valori registrati dal sistema oppure ipotizzati dal valutatore, restituiscono e confrontano il livello di rischio di corruzione pre e post applicazione del sistema.
KIT PROCEDURE ISO 37001:2016
Lo strumento per l’implementazione dei sistemi di gestione per la prevenzione della corruzione.
Kit documentale completo di strumenti e modulistica per l’implementazione ed il mantenimento di un sistema di gestione per la prevenzione della corruzione secondo la Norma Internazionale UNI ISO 37001:2016.
Comprende Manuale, Procedure, Modulistica ed allegati in formato Word ed Excel
Documenti modificabili e personalizzabili
Adatto alle aziende, ai consulenti ed alla P.A
Comprensivo dei riferimenti al D.Lgs 231/01
In offerta a 327€
Procedure ISO 37001:2016 è strutturato in files e modelli in formato Microsoft™ Word™ completamente modificabili e personalizzabili e compatibili con sistemi Windows™ ed Apple MAC™.
Procedure ISO 37001:2016 è il primo prodotto in Italia che rende possibile ai consulenti ed alle imprese di sviluppare sistemi di gestione per la prevenzione della corruzione in piena conformità con la norma internazionale ISO 37001:2016.