Sulla base dell’esperienza maturata sul campo, nell’ambito della valutazione di sistemi di gestione per la prevenzione della corruzione secondo la norma ISO 37001, emerge spesso un dato significativo, ovvero la non piena consapevolezza dell’importanza di una corretta e completa analisi del contesto, necessaria per consentire una costruzione efficace del sistema di gestione stesso.

Ciò sembrerebbe essere determinato essenzialmente da due fattori:

• innanzitutto, la norma ISO 37001, nel paragrafo 4.1 “Comprendere l’organizzazione e il suo contesto”, indica quali fattori vadano presi in considerazione per l’analisi, ma, a differenza della valutazione dei rischi, non prescrive che l’analisi del contesto sia specificamente gestita come informazione documentata;
• spesso i sistemi di gestione sviluppati secondo la ISO 37001 vengono implementati da organizzazioni che hanno già in essere altri sistemi di gestione (ISO 9001, ISO 14001, ISO 45001, ecc.) e questo può comportare il basarsi su analisi di contesto già esistenti, integrandole con alcuni riferimenti agli aspetti di prevenzione della corruzione, ma in modo non completo e non adeguatamente strutturato. Ciò accade perché quanto richiesto dalla norma ISO 37001 implica il riferimento a fattori diversi e con un focus più approfondito.

Quanto sopra determina la possibilità di trovarsi di fronte a un sistema di gestione che poggia su fondamenta incomplete o deboli, compromettendo, a cascata, la validità della valutazione dei rischi e del relativo sistema di presidi, procedure e regole, anche quando sviluppato in buona fede.

Concettualmente, una corretta e completa analisi di contesto dovrebbe porre al centro l’organizzazione, al fine di valutare i fattori indicati dalla norma stessa, ovvero:

a) le dimensioni, la struttura e l’autorità decisionale delegata dell’organizzazione;
b) i luoghi e i settori di attività;
c) la natura, l’entità e la complessità delle attività;
d) il modello commerciale;
e) gli assetti di controllo (controllate/controllanti);
f) i soci in affari / business partner;
g) le interazioni con pubblici ufficiali;
h) gli obblighi normativi, legali e contrattuali applicabili.

Rispetto al passato, è inoltre richiesto che l’organizzazione valuti la rilevanza del cambiamento climatico.

Dall’elencazione emerge come l’analisi debba partire dall’interno dell’organizzazione, considerando governance, poteri decisionali e gestionali e strumenti di controllo (es. Modelli 231, sistemi di gestione, autorità di vigilanza).

Il focus deve poi essere posto sui processi aziendali, analizzandone la complessità operativa e i soggetti coinvolti, per individuare i potenziali rischi corruttivi.

Occorre inoltre considerare i settori di business e i contesti geografici, valutando la presenza di fenomeni corruttivi ricorrenti, normative deboli o prassi non allineate ai principi di prevenzione.

È necessario identificare i canali di business (es. rete agenti, clientela privata, gare pubbliche) per comprendere i rischi derivanti dalle interazioni con soggetti terzi.

La struttura aziendale va analizzata anche rispetto ai rapporti di controllo e partecipazione (intercompany), per individuare eventuali interessi esterni e rischi indiretti di corruzione.

Fondamentale è l’analisi dei business partner, verificandone affidabilità, controlli interni e referenze, e predisponendo adeguate misure di gestione del rischio (es. subappalti, ATI).

Un ulteriore elemento critico è rappresentato dalle interazioni con pubblici ufficiali, che costituiscono ambiti ad elevato rischio corruttivo.

Anche il grado di regolamentazione del settore è rilevante: il mancato rispetto di vincoli normativi può generare pressioni corruttive.

Infine, la valutazione della rilevanza del cambiamento climatico richiede un’analisi specifica delle caratteristiche organizzative e del settore di appartenenza.

Ad esempio, restrizioni operative legate a normative ambientali (es. limitazioni orarie nei cantieri) possono generare rischi di non conformità e conseguenti dinamiche corruttive per evitare sanzioni.

In conclusione, un’analisi del contesto incompleta o superficiale porta a una valutazione dei rischi non adeguata, incapace di identificare correttamente i rischi di corruzione. Di conseguenza, anche presidi, procedure e controlli, pur ben strutturati, potrebbero risultare inefficaci, compromettendo la tutela dell’organizzazione e delle parti interessate.

Scopri la ISO 37001:2025

Contattaci per avere maggiori informazioni a news@dasa-raegister.com