Michele La Neve explica porqué ISO37001 no sirve

ISO 37001, perché non se ne ha bisogno

This post is also available in: fr es

Chiunque abbia letto questo blog lo sa, non ho una grande opinione delle certificazioni, siano esse compliance, anti riciclaggio, privacy o anticorruzione poco importa. (qui un mio articolo in inglese Compliance Certifications, a Good Investment? )

Purtroppo l’industria della certificazione è in pieno fermento; Regolamento in materia di protezione dei dati personali ed ISO 37001 in primis. In questo articolo mi soffermerò su quest’ultimo.

Già nel 1991, le Federal Sentencing Guidelines statunitensi  consideravano la possibilità di mitigare la responsabilità penale e quindi la  condanna in presenza di un serio programma di compliance, che, dal punto di vista dell’anti-corruzione avrebbe dovuto essere in grado di prevenire ed identificare possibili patologie. Nel fare questo, nel corso degli anni,  le organizzazioni non sono state lasciate a se stesse ma  hanno potuto beneficiare di  varie linee guida internazionali cui lo stesso ISO 37001 si inspira:

  • Federal Sentencing Guidelines,
  • The Bribery Act Adequate Procedures (Ministero della Giustizia britannico)
  • Good Practices Guidelines on Internal Controls (OECD)

Giova ricordare che le suddette sono disponibili gratuitamente e sono state rilasciate da enti pubblici e che da svariati anni sono ritenute essere le più autorevoli linee guida disponibili.

Vediamo quindi perché lo standard ISO 37001 non è un passo in avanti nel prevenire la corruzione.

i beneficiari di #iso37001 sono coloro che vendono questo standard

E come avrebbe potuto essere altrimenti? lo standard non ha dignità di Legge, pertanto, come sopra riportato, è inidoneo ad innovare alcunché quindi perché pagare per delle linee guida che sono già disponibili?

Michele La Neve spiega perchè ISO37001 non è un valore aggiunto nella lotta alla corruzione

Auditors.

Dal momento della pubblicazione, lo scorso Ottobre 2016, Vi sarà certamente capitato di imbatterVi in uno dei numerosi articoli, post e discussioni che ne decantavano la valenza, soprattutto ad opera di chi propone tale servizio…

Tuttavia, la corruzione internazionale è un problema molto serio che necessita del lavoro di squadra di vari professionisti;

  • Legali, per comprendere il quadro in cui l’impresa opera, anche all’estero ed anche per comprendere se si è davanti ad una possibile estorsione,
  • Contabili. Non ho mai visto una tangente essere regolarmente registrata; occorrono esperti per individuare (ed investigare) pagamenti sospetti o che non sono dovuti,
  • Informatici. Ormai la nostra vita scorre nei nostri computer, smartphone e tablet e, nel caso di un’investigazione interna è piuttosto frequente dover analizzare tali supporti. Per la stessa ragione, è opportuno che vi siano specialisti in privacy e data protection.
  • Esperti in sicurezza sui luoghi di lavoro. E’ importante che coloro che producono in nostra vece lo facciano rispettando le regole e non sfruttando i lavoratori (pratica, purtroppo, ancora comune in molte parti del mondo).

Pur senza mettere in discussione le competenze degli auditor ISO 37001, è bene ricordare che le attività sopra menzionate, pur non essendo esaustive, andrebbero svolte con costanza e ad intervalli regolari, possibilmente da un gruppo di professionisti scelti ad hoc. Per ulteriori informazioni Perché NON far ‘certificare’ il proprio programma anticorruzione

Non esclude/mitiga i profili di responsabilità.

Come già menzionato, solo un serio ed effettivo programma di compliance potrebbe. Inoltre, sia il Dipartimento di Giustizia  statunitense che l’Agenzia  francese anticorruzione , nelle loro linee guida, hanno completamente omesso lo standard.

Inoltre, e questo è molto importante, la certificazione ISO 37001 non esclude dagli obblighi di due diligence nei confronti di terzi. (la due diligence è un investimento, credetemi)

Riservatezza.

Qualsiasi audit impone la conoscenza di informazioni dettagliate e riservate quali la partecipazione e la preparazione a gare d’appalto, bilanci, nomi ed attività svolte da consulenti esterni. Queste  sono solo alcune delle informazioni che dovrebbero essere rilasciate a terzi. Abbiamo già visto che, da solo, lo standard non esclude la responsabilità, quindi, perché rischiare?

Alcune imprese certificate sono sotto indagine.

E’ bene chiarire che le responsabilità vengono definite nel giudicato e non prima, pertanto, come è possibile certificare l’aderenza ai più noti standard anti-corruzione imprese le cui responsabilità sono ancora in fase di definizione?

Pur senza scomodare Montesquieu, è solare come l’operato degli organi giudicanti vada accettato e rispettato. Pertanto, la certificazione in tali circostanze mi pare abbastanza inusuale.

Responsabilità dell’auditor.

Se un Ingegnere certificasse l’agibilità di un ponte non a regola d’arte, ne risponderebbe ma cosa accadrebbe a chi ha emesso certificazione ISO 37001 e l’ente certificato fosse riconosciuto responsabile per corruzione?

Sebbene possa ravvisarsi qualche forma di responsabilità contrattuale (ovviamente da verificare), è palese che la responsabilità per la presunta corruzione resterebbe in capo all’ente.  Perché, quindi, certificarsi?

Infine, le motivazioni sopra riassunte spiegano perché lo standard ISO 37001 difficilmente possa essere considerato un asset per combattere la corruzione e, a fortiori,  un asset per le organizzazioni che intendano certificarsi.

Il modo migliore per raggiungere tale obiettivo rimane quello di lavorare sulla cultura interna all’impresa, in cui la corruzione non è tollerata ed in cui nessuno rischia il proprio posto di lavoro solo per aver riportato un comportamento (potenzialmente) sbagliato.

Summary
Description
I motivi per i quali la certificazione ISO 37001 non rappresenta una innovazione od un valore aggiunto nella lotta alla corruzione.
Author

Published by

Michele La Neve

White Collar Crime Attorney at Whitecotton Law Dedicated to Helping Clients Overcome Unforeseen Business Risks.

Rispondi