Due Diligence secondo la ISO 37001: i cinque punti essenziali | Ingegneri.info

Due Diligence secondo la ISO 37001: i cinque punti essenziali

La Norma ISO 37001, il nuovo standard per i sistemi di gestione anti-corruzione, è molto dettagliato sull'argomento, oltre che più considerata a livello internazionale, di alcune linee guida in materia pubblicate fino ad oggi

image_pdf

La Norma ISO 37001 prevede che lo svolgimento di controlli/valutazioni sulle attuali e future terze parti interessate (stakeholders), così come sugli shareholders (o soci in affari che dir si voglia) sia un componente chiave di una corretta Due Diligence anti-corruzione.
La Norma ISO 37001 va, quindi, oltre quanto indicato nella Convenzione OCSE contro la Corruzione e nella DOJ/SEC FCPA Resource Guide sulla questione di quale tipo di Due Diligence sia appropriata.
Di seguito, i punti salienti.

1) La Due Diligence deve essere ponderata in base al rischio
ISO 37001 prende una posizione forte in opposizione a un approccio “one-size-fits-all” alla due diligence. Alcuni stakeholders a basso rischio inerente, come alcuni clienti al dettaglio o fornitori, possono non necessitare di uno screening approfondito.
Di contro, ci possono essere stakeholders/shareholders a Medio/Alto rischio, come società o persone che esercitano la propria attività in una giurisdizione conosciuta per un alto rischio di corruzione, shareholders che mantengono le proprie operazioni o la gestione decentrate, che agiscono come intermediari o agenti o si dedicano a operazioni con pubblici ufficiali.
Più alto è il rischio valutato, più profondo sarà il livello di due diligence richiesto.

2) Le “Red Flags” possono essere più delle sole Non Conformità direttamente rilevabili
Non c’è una definizione universalmente accettata su quali siano i requisiti per identificare lo standard di una “Red Flag”, intesa come l’individuazione di una criticità in atto. Un’organizzazione sbaglierà a supporre che le “Red Flags” possano, in genere, essere limitate a Non Conformità esplicite ed evidenti, come una condanna penale o anche un’indagine di corruzione.
Sappiamo che la reputazione su argomenti come la corruzione o la frode rimane sempre un argomento “Top” per la materia della Due Diligence ed il progetto ISO 37001 chiarisce che le “Red Flags” possono venire in molte altre forme, anche e spesso non esplicitamente rappresentati delle Non Conformità esplicite come quelle sopraccitate.
Ad esempio, l’assenza di evidenze oggettivamente verificabili che un socio in affari è registrato correttamente presso le autorità competenti (e, quindi, che sia un’entità commerciale legittima) potrebbe essere un “indicatore di potenziale rischio”.
Se un socio di affari non può fornire evidenze oggettive e complete di tracciabilità per aver completato con successo un progetto simile o una transazione come quella per la quale lo abbiamo coinvolto, potrebbe suggerire preliminarmente, che fenomeni di corruzione siano potenzialmente possibili.
Anche qualsiasi link ad una persona politicamente esposta (PEP) è una potenziale “Red Flags”.

3) L’analisi delle cosiddette “Blacklist” o “Watchlist” sono necessarie, ma non sufficienti, per una efficace Due Diligence
Le Blacklist & Watchlist contengono informazioni relative a nominativi per i quali vige una ìnotifica di avvertimento emesso da autorità di vigilanza e/o autorità finanziarie (tra le altre FINMA, FSA), a persone ricercate da governi, autorità investigative nazionali e internazionali (quali ad esempio Interpol, FBI,DEA, DIA) o inserite in specifiche liste dalle autorità giudiziarie internazionali, agenzie governative o internazionali.
La visione di questi elenchi e banche dati di conformità a livello mondiale sono stati a lungo pilastri della attività di base di Due Diligence. Per molte aziende, è una pratica standard fare anche screening di grandi volumi di nomi in questi elenchi e banche dati.
Il progetto di norma ISO 37001 non commenta in maniera particolare questa pratica, ma suggerisce che un approccio esclusivamente siffatto è difficile che passi l’esame di certificazione. Senza specificare esaustivamente ciò che deve essere incluso in ogni caso, il progetto prevede che la Due Diligence “può includere” un questionario, l’utilizzo dei motori di ricerca, risorse giudiziarie e governative anche internazionali, liste di interdizione e indagini reputazionali.
Considerando questo elenco di metodi e fonti, un programma basato esclusivamente sullo screening delle Blacklist e Watchlist avrà difficoltà a raggiungere la certificazione ISO 37001.

4) Gli shareholders (diretti e indiretti) delle terze parti coinvolte nel nostro business, incluso il loro top management, non possono essere ignorati
La sezione del progetto di norma ISO 37001 sulla Due Diligence sottolinea che i manager e gli shareholders (compresi i beneficiari effettivi finali) di un socio in affari sono fattori chiave. La loro identità, reputazione, background personale, oltre che i potenziali legami diretti e indiretti a persone politicamente esposte sono fondamentali per il processo di Due Diligence.
Questo aspetto della Due Diligence può essere una sfida molto ardua per l’organizzazione, con esigenze di ricerca ed analisi che si moltiplicano, potendo anche rapidamente diventare un costo proibitivo, in termini di tempo, risorse impegnate e, quindi, denaro. Per una piccola impresa, tutto ciò potrebbe comportare semplicemente l’aggiunta di solo due o tre nomi aggiuntivi nella lista di Due Diligence. Ma per le grandi aziende, a volte decine di individui possono essere ragionevolmente considerate “top manager” o “shareholders diretti o indiretti significativi”.

5) Tocca ai Risk & Compliance Consultants progettare un “abito su misura” per soddisfare le aspettative di Due Diligence
Le aziende che cercano di conformarsi alla norma ISO 37001 è probabile che spesso si soffermeranno su come argomentare ciò che è da considerare “ragionevole e proporzionato in materia di Due Diligence”.
Questi sono i requisiti dello standard ISO 37001, necessariamente generalisti, anche più approfonditi delle altre linee guida in materia, in quanto devono potersi applicare a qualunque organizzazione.
Tocca ai Risk & Compliance Consultants progettare un “abito su misura” per soddisfare le aspettative di Due Diligence di azionisti e manager, in base anche all’importanza che attribuiscono ai propri asset aziendali. Ad esempio, si potrà decidere che sia utile e sufficiente eseguire livelli più approfonditi di Due Diligence solo sugli azionisti con una partecipazione del 25 per cento o superiore.
Qualunque sia la soluzione, comunque, sarà l’applicazione sul campo e l’esperienza di nuove idee e buone pratiche a fornire le indicazioni corrette per assicurare che questo aspetto potenzialmente impegnativo della norma ISO 37001 sia soddisfatto in modo coerente e difendibile, anche in tribunale, se dovesse servire.

Leggi anche: La ISO 37001, un unico standard globale per la conformità anticorruzione

Copyright © - Riproduzione riservata
L'autore
Due Diligence secondo la ISO 37001: i cinque punti essenziali Ingegneri.info