ISO 37001 è lo standard internazionale per impostare un sistema di gestione anticorruzione (ABMS) credibile, verificabile e riconosciuto dai committenti pubblici e privati. In pratica, aiuta a prevenire tangenti, conflitti di interesse e rischi legati a fornitori, agenti e consulenti, rafforzando la tracciabilità dei processi e l’idoneità a partecipare a gare e vendor list.

Che cos’è la ISO 37001

La certificazione ISO 37001 attesta che un’organizzazione ha implementato un Anti-Bribery Management System (ABMS) conforme allo standard. Il sistema richiede politiche, responsabilità, analisi dei rischi, controlli sulle transazioni sensibili, due diligence sulle terze parti, percorsi di formazione, canali di segnalazione e meccanismi di monitoraggio e miglioramento continuo.

La norma segue l’impostazione tipica degli standard di gestione: pianificazione sulla base dei rischi, attuazione di controlli proporzionati, verifica tramite audit interni e riesame della direzione, correzione e miglioramento. È progettata per integrarsi facilmente con altri sistemi (qualità, compliance, ambiente, sicurezza) e con il Modello 231.

A cosa serve davvero

  • Prevenire e rilevare condotte a rischio: pagamenti impropri, regali o ospitalità non conformi, sponsorizzazioni e donazioni opache, pressioni commerciali scorrette, conflitti di interesse.
  • Gestire il rischio delle terze parti: agenti, partner, subappaltatori e consulenti sono spesso l’anello debole. La ISO 37001 richiede due diligence proporzionata e contratti con clausole anticorruzione.
  • Dimostrare affidabilità in appalti e vendor qualification: la presenza di un ABMS certificato è sempre più considerata nei processi di qualifica e, in alcuni bandi, può rappresentare un elemento premiante o un requisito documentale.
  • Ridurre sanzioni, contenziosi e costi occulti: processi tracciabili e ruoli chiari riducono l’esposizione a indagini, sospensioni contrattuali e danni reputazionali.

Nel settore degli appalti, la spinta alla tracciabilità e ai controlli cresce anche grazie all’attenzione delle istituzioni. Ad esempio, l’Autorità Nazionale Anticorruzione segnala l’importanza di processi digitali e maggiori controlli per prevenire infiltrazioni e inefficienze (fonte ANAC). In questo contesto, un sistema ISO 37001 aiuta le imprese a strutturare presidi coerenti con le aspettative del mercato e della PA.

A chi serve

  • Imprese che partecipano ad appalti (lavori, servizi, forniture) o che operano come subappaltatori.
  • Aziende con rete di intermediari: agenti, distributori, partner commerciali, consulenti.
  • Settori ad alta esposizione: costruzioni, ingegneria, facility e FM, ICT e servizi digitali, energia e utilities, oil & gas, farmaceutico e medicale, logistica, sanità privata.
  • PMI e studi professionali che vogliono qualificarsi presso grandi clienti o gruppi internazionali.

Requisiti chiave del sistema ABMS

  • Politica anticorruzione approvata dal vertice e comunicata a personale e partner.
  • Analisi dei rischi per processi, paesi, settori, tipologie di transazioni e terze parti.
  • Ruoli e responsabilità chiari, con funzioni indipendenti di controllo proporzionate alla dimensione.
  • Procedure su aree sensibili: omaggi e ospitalità, spese di rappresentanza e viaggi, sponsorizzazioni e donazioni, gare e approvvigionamenti, vendite e negoziazioni, gestione contanti e pagamenti.
  • Due diligence sulle terze parti con criteri documentati (rischio paese/settore, beneficiario effettivo ove pertinente, reputazione, conflitti d’interesse, modalità di remunerazione).
  • Clausole contrattuali anticorruzione e diritti di audit sui partner ad alto rischio.
  • Formazione periodica e mirata per ruoli esposti.
  • Canali di segnalazione e procedure per gestire le segnalazioni in modo riservato e senza ritorsioni.
  • Controlli finanziari e approvativi per prevenire pagamenti impropri e frazionamenti.
  • Monitoraggio, audit interni e riesame della direzione per il miglioramento continuo.

Iter di certificazione

  1. Gap analysis (opzionale): verifica iniziale rispetto ai requisiti ISO 37001, utile per stimare sforzo e priorità.
  2. Progettazione del sistema: definizione politica, ruoli, mappa dei rischi e procedure operative.
  3. Attuazione e formazione: applicazione dei controlli, due diligence sulle terze parti, attivazione canali di segnalazione.
  4. Audit interno e riesame: controllo di conformità e valutazione del vertice.
  5. Audit di certificazione da parte di un organismo terzo: normalmente in due fasi (review documentale e verifica dell’operatività).
  6. Mantenimento: sorveglianze periodiche e miglioramenti in base a non conformità e indicatori.

Tempi indicativi

Per una PMI con processi tipici e rischio medio, l’esperienza di mercato indica 3–5 mesi per arrivare pronti alla certificazione, a condizione di avere risorse interne dedicate e decisioni rapide. Tempistiche maggiori sono frequenti in presenza di molti siti, rete ampia di terze parti o settori a rischio elevato. I tempi dell’audit dell’organismo possono variare.

Fattori di costo

  • Dimensione e complessità: numero di sedi, dipendenti, processi e Paesi.
  • Profilo di rischio: settori e mercati serviti, intensità dell’uso di terze parti.
  • Integrazione con sistemi esistenti: se già avete ISO 9001 o un sistema di compliance, parte della struttura è riutilizzabile.
  • Supporto esterno: eventuali costi di consulenza e formazione.
  • Audit di certificazione: giornate e tariffa dell’organismo, più eventuali trasferte.
  • Tempo interno: ore del team per analisi, documenti, formazione e controlli.

Non esistono tariffari unici: i preventivi variano in base all’oggetto e all’organismo selezionato.

Documenti e evidenze utili

  • Codice etico e politica anticorruzione.
  • Matrice dei rischi e criteri di valutazione.
  • Procedure per regali/ospitalità, sponsorizzazioni e donazioni, pagamenti, procurement, vendite, gestione conflitti di interesse.
  • Processo di due diligence su partner e fornitori (checklist, livelli di rischio, approvazioni).
  • Clausole contrattuali anticorruzione e right-to-audit per terze parti ad alto rischio.
  • Formazione: piani, materiali, registri presenze.
  • Canale segnalazioni e procedura di gestione delle segnalazioni, con registri e tracciabilità.
  • Controlli finanziari: firme/limiti di approvazione, segregazione dei compiti, riconciliazioni.
  • Audit interni, azioni correttive e riesame della direzione.

Integrazione con Modello 231: come lavorano insieme

ISO 37001 e Modello 231 hanno aree di forte sinergia. La norma offre un’architettura operativa e misurabile per i reati di corruzione, mentre il Modello 231 copre l’intero perimetro dei reati presupposto. In pratica:

  • Risk assessment coordinato: mappa 231 e mappa anticorruzione allineate e basate su criteri omogenei.
  • Protocolli 231 arricchiti dai controlli specifici della ISO 37001 su pagamenti, terze parti, ospitalità, sponsorizzazioni e donazioni.
  • OdV e funzione compliance: flussi informativi e indicatori condivisi per monitoraggio e miglioramento.
  • Whistleblowing: canale unico, procedure coordinate, formazione integrata.

Questa integrazione semplifica audit e reporting, aumentando l’efficacia complessiva senza duplicare attività.

Vantaggi concreti per business e appalti

  • Accesso a gare e vendor list: la certificazione può agevolare la qualificazione e, in alcuni casi, contribuire a punteggi o requisiti documentali (verificare sempre bandi e capitolati).
  • Reputazione e fiducia: sistemi verificati da terza parte accelerano le due diligence dei committenti.
  • Riduzione del rischio: meno probabilità di eventi corruttivi, contenziosi, rescissioni contrattuali o interdizioni.
  • Efficienza interna: ruoli, procedure e tracciabilità riducono incertezze e costi di non conformità. I benefici della normazione includono migliore penetrazione nei mercati e semplificazione dei processi (fonte UNI).
  • Allineamento alle aspettative istituzionali: il focus su tracciabilità, controlli e digitalizzazione nei contratti pubblici rende strategico un ABMS strutturato (fonte ANAC).

Errori da evitare

  • Copia-incolla di modelli generici non calati nei rischi reali dell’azienda.
  • Limitarsi ai documenti: la norma richiede evidenze di attuazione, non solo policy.
  • Trascurare le terze parti: agenti, partner e subappalti sono spesso la fonte del rischio.
  • Dimenticare sponsorizzazioni e donazioni o considerarle “minori”.
  • Assenza di canali di segnalazione efficaci o gestione non tracciata delle segnalazioni.
  • Scarso coinvolgimento del vertice: leadership e risorse sono requisiti espliciti della norma.
  • Mancata integrazione con Modello 231 e altri sistemi, con aumento di costi e confusione.

Domande pratiche più frequenti

È obbligatoria o facoltativa?

La certificazione ISO 37001 è in genere volontaria. Tuttavia può essere richiesta o premiata in alcuni settori, bandi o capitolati. Verificare sempre le specifiche della gara o le procedure dei committenti.

Serve per partecipare a gare o lavorare con grandi clienti?

In diversi contesti la certificazione facilita l’accesso a shortlist e vendor list e può costituire elemento premiante o richiesto. Anche quando non è espressamente prevista, dimostrare un ABMS conforme alla ISO 37001 accorcia le due diligence dei grandi clienti e riduce i dubbi sull’integrità del fornitore.

Quanto tempo serve per ottenerla?

Per molte PMI con rischi tipici, 3–5 mesi sono un intervallo ragionevole per progettare e rendere operativo il sistema prima dell’audit, se il vertice è coinvolto e il perimetro è chiaro. Realtà multisito o in settori ad alto rischio possono richiedere più tempo.

Quanto costa?

Dipende da dimensione, complessità, profilo di rischio e stato di partenza. I costi si compongono di lavoro interno, eventuale supporto esterno (progettazione/formazione) e audit dell’organismo di certificazione. L’integrazione con sistemi già presenti può ridurre tempi e oneri.

Quali documenti devo avere pronti?

  • Politica anticorruzione e Codice etico.
  • Risk assessment anticorruzione e criteri di valutazione.
  • Procedure su regali/ospitalità, sponsorizzazioni/donazioni, pagamenti e approvazioni, procurement, vendite, conflitti di interesse.
  • Processo di due diligence su terze parti, con livelli di controllo proporzionati.
  • Clausole contrattuali anticorruzione e patti di integrità dove applicabili.
  • Formazione e registri, canale whistleblowing e gestione segnalazioni.
  • Audit interni, azioni correttive, riesame della direzione.

La mia azienda è troppo piccola per ottenerla?

No. La ISO 37001 è scalabile. In una micro o piccola impresa, ruoli e controlli possono essere semplificati ma devono essere effettivi, proporzionati ai rischi e documentati.

Qual è la differenza rispetto ad altre certificazioni simili?

  • ISO 37001 vs Modello 231: la 231 è un modello organizzativo legale che copre vari reati; la 37001 è uno standard internazionale focalizzato sulla corruzione, utile a dare struttura operativa e misurabile ai presidi anticorruzione all’interno del 231.
  • ISO 37001 vs ISO 37301: la 37301 è un sistema di gestione della compliance di carattere generale; la 37001 è specialistica per l’anticorruzione. Possono integrarsi: la 37301 definisce il “framework compliance”, la 37001 dettaglia i controlli anti-bribery.
  • ISO 37001 vs ISO 9001: la 9001 è qualità; non copre in modo specifico i controlli anticorruzione.

La certificazione dura per sempre?

No. I certificati prevedono verifiche periodiche e rinnovi. La continuità dipende dal mantenimento del sistema e dagli esiti degli audit successivi.

Come si collega alle richieste dei committenti pubblici?

Molte stazioni appaltanti e grandi committenti puntano su tracciabilità e controlli per prevenire infiltrazioni e inefficienze nei contratti. Un ABMS conforme alla ISO 37001 risponde a queste aspettative, specie su terze parti, pagamenti e segnalazioni. Ulteriori indirizzi in tema di tracciabilità e digitalizzazione dei processi sono valorizzati anche da comunicazioni istituzionali (ANAC).

Come iniziare in modo efficace

  • Definite il perimetro: processi, sedi, terze parti più esposte.
  • Mappate i rischi con criteri semplici e ripetibili (impatto/probabilità).
  • Partite dalle aree sensibili: regali/ospitalità, pagamenti, sponsorizzazioni/donazioni, procurement, vendite, agenti.
  • Attivate il canale di segnalazione e definite una procedura chiara di gestione.
  • Formate i ruoli chiave e coinvolgete il vertice con obiettivi misurabili.
  • Allineatevi al Modello 231 e agli altri sistemi per evitare duplicazioni.

Conclusione

La certificazione ISO 37001 è una leva competitiva concreta per chi opera in appalti e con grandi clienti: riduce il rischio, velocizza le qualifche e dimostra impegno verificabile sull’integrità. Integrata con il Modello 231, crea un presidio solido, proporzionato e sostenibile nel tempo.

Vuoi capire tempi, sforzo e costi per il tuo caso? Parlando con la chatbox di Evidy, l’utente può ottenere un preventivo preciso per il tipo di servizio di cui ha bisogno, con la possibilità di ricevere un range indicativo di importi e anche un preventivo dell’ente.