Se la tua azienda partecipa a gare pubbliche o opera in filiere ad alta esposizione regolatoria, la certificazione ISO 37001 è lo standard internazionale di riferimento per strutturare un sistema di gestione anti-corruzione efficace, dimostrabile e verificato da terze parti. In concreto: integra politiche, controlli e due diligence per prevenire il rischio corruttivo e rafforzare l’idoneità a lavorare con Pubbliche Amministrazioni e grandi committenti.

Che cos’è la certificazione ISO 37001

La ISO 37001 è la norma internazionale che definisce i requisiti per un Anti-Bribery Management System (ABMS), cioè un sistema di gestione volto a prevenire, individuare e affrontare comportamenti corruttivi, diretti o indiretti, dentro e fuori l’organizzazione. La certificazione, rilasciata da un organismo indipendente, attesta che l’azienda ha implementato e mantiene nel tempo controlli adeguati e proporzionati ai propri rischi.

È importante essere chiari: la ISO 37001 non garantisce l’assenza assoluta di illeciti, ma dimostra che l’azienda ha messo in atto misure ragionevoli e basate sul rischio per prevenirli e gestirli.

Elementi chiave richiesti dalla ISO 37001

  • Politica anti-corruzione approvata dal vertice, comunicata dentro e fuori l’organizzazione.
  • Ruoli e responsabilità chiari, compresa una funzione con responsabilità specifiche sul sistema anti-corruzione.
  • Valutazione dei rischi per processi, paesi, unità, partner e progetti, con aggiornamenti periodici.
  • Controlli proporzionati: segregazione dei compiti, approvazioni multilivello, tracciabilità decisionale, verifiche su pagamenti e omaggi, gestione conflitti di interesse.
  • Due diligence su terze parti: clienti, fornitori, agenti, consulenti, subappaltatori, con criteri misurati sul rischio.
  • Formazione e comunicazione mirate ai ruoli esposti (acquisti, vendite, cantieri, relazione con PA, fundraising, sponsorship).
  • Canali di segnalazione protetti e procedure di indagine interna, con tutela del segnalante e gestione delle non conformità.
  • Audit interni e riesame della Direzione per misurare efficacia e migliorare il sistema.

A chi serve e quando è richiesta

La certificazione ISO 37001 è particolarmente utile a imprese che:

  • partecipano a appalti pubblici o lavorano con società a controllo pubblico;
  • operano in supply chain sensibili (costruzioni, energia, utilities, healthcare, trasporti, ICT, difesa, rifiuti, servizi ambientali, logistica, grande distribuzione);
  • gestiscono reti commerciali indirette con agenti, distributori, subappaltatori o intermediari;
  • espandono il business in aree geografiche a rischio o con normativa stringente;
  • desiderano allineare governance e controlli a standard riconosciuti a livello internazionale.

Di norma non è un obbligo di legge. Tuttavia può essere requisito di gara o criterio premiante nelle procedure di affidamento, e viene spesso richiesta da clienti corporate come condizione di qualifica fornitore. In ambito appalti, il tema della conformità e della prevenzione dei rischi è regolarmente richiamato nel dibattito pubblico e regolatorio; per esempio, l’Autorità Nazionale Anticorruzione (ANAC) sottolinea con costanza l’importanza di legalità, gare trasparenti e corretto trasferimento dei rischi, contesto in cui un ABMS efficace diventa un segnale concreto di affidabilità.

A cosa serve nella pratica

  • Prevenzione dei reati: riduce la probabilità di eventi corruttivi lungo il ciclo acquisti-vendite e nella gestione dei subappalti.
  • Tutela reputazionale: dimostra impegno documentato verso l’integrità, utile in crisi, audit clienti e media scrutiny.
  • Maggiore tracciabilità: decisioni, deroghe, pagamenti e omaggi diventano giustificati e verificabili.
  • Due diligence su partner: filtri proporzionati per agenti, consulenti, sponsor e fornitori critici.
  • Integrazione con governance esistente: si affianca a Modello 231, sistemi qualità (ISO 9001), sicurezza (ISO 45001), ambiente (ISO 14001) e sicurezza delle informazioni (ISO/IEC 27001).

Vantaggi concreti per appalti e supply chain

  • Idoneità competitiva: in alcune gare la ISO 37001 può valere come requisito di ammissione o punteggio premiante, quando previsto dai documenti di gara.
  • Riduzione dei rischi legali e di contenzioso: controlli e tracciabilità rafforzano la difendibilità delle scelte.
  • Onboarding più rapido in vendor list di grandi clienti grazie a evidenze standardizzate di compliance.
  • Maggiore fiducia di banche e investitori: governance dei rischi e integrità pesano nei processi di valutazione ESG e reputazionale.
  • Riconoscibilità internazionale quando la certificazione è emessa da organismi accreditati, supportata da accordi di riconoscimento multilaterali che rafforzano la fiducia nel mercato globale (si veda, tra le altre, la notizia sull’evoluzione del sistema di accreditamento internazionale pubblicata da IAF).

Requisiti, documenti e attività tipiche

Politiche e responsabilità

  • Politica anti-corruzione firmata dal vertice e diffusa a personale e terze parti.
  • Nomina di ruoli con responsabilità definite per l’ABMS (coordinamento, monitoraggio, reporting).
  • Codice etico aggiornato con riferimenti a omaggi, hospitality, conflitti di interesse, sponsor e donazioni.

Valutazione dei rischi e controlli

  • Mappatura dei processi esposti (gare, fornitori, vendite, cash & payments, real estate, permessi/iter autorizzativi, dogane, cantieri).
  • Analisi dei rischi per Paese, settore, canale, terza parte e progetto.
  • Controlli operativi: segregazione dei compiti, limiti e soglie di approvazione, audit di transazione, registri omaggi e hospitality, registri conflitti di interesse.

Due diligence e contrattualistica

  • Questionari e screening di integrità su agenti, subappaltatori, intermediari, consulenti, distributori.
  • Clausole contrattuali di compliance, diritto di audit, obblighi di formazione e flussi informativi.

Formazione e comunicazione

  • Piani formativi differenziati per ruoli e rischio (buyer, venditori, PM, site manager, team gare e legale).
  • Campagne periodiche e onboarding per nuovi assunti e partner rilevanti.

Segnalazioni, indagini e azioni correttive

  • Canali di segnalazione sicuri e procedure di investigazione interna.
  • Misure disciplinari e di remediation proporzionate e tracciate.

Monitoraggio continuo

  • Indicatori di performance (ad es. formazione erogata, controlli svolti, esiti due diligence, segnalazioni gestite).
  • Audit interni e riesami della Direzione con piani di miglioramento.

Iter di certificazione

  1. Kick-off e gap analysis: valutazione stato attuale vs. requisiti ISO 37001.
  2. Progettazione e implementazione: risk assessment, definizione controlli, procedure, formazione e strumenti.
  3. Raccolta evidenze: registri, verbali, contratti, report di due diligence, prove di formazione e attività svolte.
  4. Audit interno e riesame per verificare la prontezza alla certificazione.
  5. Scelta dell’organismo di certificazione (preferibilmente accreditato).
  6. Audit di certificazione in due fasi: revisione documentale e verifica in campo dell’efficacia dei controlli.
  7. Emissione del certificato e audit di sorveglianza periodici per mantenerlo.

Optare per organismi accreditati aiuta il riconoscimento della certificazione nei mercati internazionali grazie agli accordi multilaterali di fiducia tra enti di accreditamento, come ricordato anche dall’evoluzione istituzionale descritta da IAF.

Tempi indicativi

I tempi dipendono da dimensione, complessità dei processi, numero di sedi, livello di maturità del sistema e profilo di rischio. Un’azienda già abituata a sistemi di gestione (es. ISO 9001) può procedere più rapidamente; chi parte da zero può richiedere più cicli di affinamento. In generale, considera un percorso di alcuni mesi tra avvio, implementazione, audit interno e certificazione, pianificando con largo anticipo rispetto a scadenze di gara.

Costi e fattori che li influenzano

  • Dimensione e sedi: più persone e location, più giorni di audit e attività di implementazione.
  • Profilo di rischio: settori/Paesi più esposti richiedono due diligence e controlli più articolati.
  • Stato di partenza: presenza di Modello 231 e altri sistemi facilita integrazione e riduce costi.
  • Formazione e comunicazione: ampiezza e profondità del piano formativo incidono sul budget.
  • Manutenzione annuale: audit di sorveglianza e miglioramenti continui vanno preventivati.

Per un range realistico serve valutare obiettivi, perimetro e rischio. Il modo più rapido per stimare tempi e costi è richiedere un pre-assessment e un’offerta di certificazione.

Errori da evitare

  • Trattare la ISO 37001 come adempimento formale: policy senza controlli operativi non reggono agli audit.
  • Trascurare il middle management: capi funzione e PM sono la prima linea di controllo.
  • Ignorare i partner: agenti, consulenti e subappaltatori sono vettori tipici di rischio.
  • Non proteggere i segnalanti: canali non sicuri bloccano le evidenze precoci.
  • Confondere ISO 37001 con il Modello 231: sono strumenti distinti ma integrabili; uno non sostituisce l’altro.
  • Non misurare: senza KPI e audit, il sistema smette di migliorare e perde efficacia.

Domande pratiche più frequenti

È obbligatoria o facoltativa?

Generalmente è facoltativa. Può però essere richiesta dai documenti di gara o dai grandi clienti come requisito di qualifica o come elemento premiante. In un contesto in cui l’attenzione alla legalità e alla corretta gestione degli appalti è costante, come richiamato anche da ANAC, la ISO 37001 segnala impegno e capacità organizzativa.

Quanto tempo serve?

Varia in base a complessità, rischi e stato di partenza. Chi ha già sistemi di gestione e controlli consolidati procede più rapidamente; chi parte da zero necessita di più tempo per mappare rischi, implementare controlli e formarne l’uso.

Quanto costa?

Dipende da dimensioni, perimetro, rischi, numero di sedi e maturità del sistema. Il costo include implementazione interna e audit dell’organismo di certificazione (oltre alle sorveglianze). Un range attendibile richiede una valutazione preliminare del contesto aziendale.

Serve per partecipare a gare o lavorare con grandi clienti?

Sì, in molti casi agevola l’ammissione o la valutazione, quando previsto dai documenti di gara o dai criteri di qualifica fornitore. In supply chain regolamentate è spesso considerata una buona pratica o un requisito di onboarding.

Quali documenti devo avere?

  • Politica anti-corruzione e codice etico aggiornati.
  • Mappa dei rischi e registro dei controlli.
  • Procedure per omaggi/hospitality, conflitti di interesse, sponsorizzazioni/donazioni, pagamenti.
  • Template e report di due diligence terze parti con criteri per classe di rischio.
  • Clausole contrattuali di compliance e diritti di audit.
  • Piani e registri formazione; canali e procedure di segnalazione; evidenze di indagini e azioni correttive.
  • Verbali di audit interni e riesami della Direzione.

La mia azienda è troppo piccola per ottenerla?

No. La ISO 37001 è scalabile: i controlli devono essere proporzionati ai rischi e alle risorse disponibili. Anche PMI e professionisti organizzati possono certificarsi, con set di controlli snello ma efficace.

Qual è la differenza rispetto ad altre certificazioni simili?

  • Modello 231: è uno strumento giuridico-organizzativo legato alla normativa italiana sulla responsabilità degli enti; la ISO 37001 è uno standard internazionale di sistema di gestione. Sono complementari.
  • ISO 9001/14001/45001/27001: si occupano di qualità, ambiente, salute e sicurezza, sicurezza delle informazioni. La ISO 37001 è focalizzata su prevenzione della corruzione; può integrarsi ai sistemi esistenti condividendo processi comuni (audit, riesame, gestione rischi).

Chi rilascia la certificazione e come viene riconosciuta all’estero?

La rilasciano organismi di certificazione che verificano la conformità al requisito. Scegliendo organismi accreditati, la fiducia nel certificato è rafforzata da accordi di mutuo riconoscimento tra enti di accreditamento a livello internazionale. Su questo fronte, l’IAF ha comunicato iniziative di unificazione che mirano a consolidare tale fiducia globale.

Come integrare ISO 37001 con il Modello 231?

Le due strutture possono essere allineate: risk assessment coerenti, mappature processi uniche, controlli condivisi (autorizzazioni, segregazione dei compiti), canali di segnalazione integrati, audit e reporting coordinati. L’obiettivo è evitare duplicazioni, mantenendo requisiti specifici laddove necessari. Per aspetti giuridici, è consigliabile confrontarsi con consulenza legale qualificata.

Conclusione

La certificazione ISO 37001 aiuta a trasformare l’integrità in un vantaggio competitivo: riduce i rischi, rende le decisioni verificabili e aumenta la credibilità verso stazioni appaltanti e grandi clienti. Se stai pianificando gare, qualifiche fornitore o l’ingresso in supply chain sensibili, è il momento di strutturare politiche, controlli e due diligence in modo integrato e misurabile.

Vuoi capire tempi, costi e passi per la tua realtà? Parlando con la chatbox di Evidy, puoi ottenere un preventivo preciso per il servizio di cui hai bisogno, con la possibilità di ricevere un range indicativo di importi e anche un preventivo dell’ente.