Lavora con noi

My Qualifica
Accedi/Registrati

Stai visualizzando:

/ISO 37001 sistemi di gestione per la prevenzione della corruzione

ISO 37001 sistemi di gestione per la prevenzione della corruzione

LA norma ISO 37001

LA NORMA ISO 37001

Lo standard UNI ISO 37001:2016 (Anti-Bribery Management Systems), è una normativa internazionale pubblicata nel 2016. Lo scopo generale di questa norma è aiutare le organizzazioni a combattere il rischio di corruzione e a promuovere una cultura d’impresa etica.  

Le organizzazioni nell’applicazione dei requisiti richiesti dalla normativa sono obbligate all’implementazione ed attuazione di procedure organizzative atte alla rilevazione e risoluzione dei possibili fenomeni corruttivi interni e delle sue attività commerciali e a seguire misure specifiche per la prevenzione degli stessi. 

Lo standard UNI ISO 37001:2016 è suddiviso in dieci sezioni secondo la HIGH LEVEL STRUCTURE, la struttura tipica che caratterizza anche altri sistemi di gestione (ISO 9001, 14001, 45001, 27001 ecc..) può essere facilmente integrata in un sistema di gestione esistente. Le prime tre sezioni sono di carattere introduttivo, mentre le successive sette sezioni definiscono concretamente i requisiti relativi al Sistema di Gestione Anticorruzione e rappresentano il fulcro della norma:

Sezione 4 – Contesto dell’organizzazione 

La norma ha voluto inquadrare gli elementi interni ed esterni con un approccio “high level” e considerare, per la prima volta, una serie di ulteriori fattori che possono influenzare il modo in cui l’organizzazione gestisce le proprie responsabilità in materia di sicurezza informatica: questi fattori possono essere sia di tipo esterno (aspetti tecnologici, finanziari/economici, competitivi dei propri prodotti/servizi nei confronti della concorrenza dal punto di vista ambientale, e legali/normativi) che di tipo interno (dimensioni, struttura, interfacce e interdipendenze tra le attività svolte dall’organizzazione).  

Da ciò deriva che l’analisi del contesto richiede una valutazione non solo di elementi interni ma anche di elementi esterni che in precedenza venivano di solito considerati marginalmente nell’ambito del SGA.

Tale estensione dell’analisi rappresenta quindi un aspetto di maggiore complessità della norma e di vitale importanza, in quanto il tutto permette di stabilire ed impostare una serie di azioni atte a prevenire e mitigare tutti i possibili eventi di perdita e indisponibilità delle informazioni, ciò risulta ancora più evidente nella successiva analisi delle parti interessate e nell’attività generale di pianificazione che la normativa dettaglia e chiarisce.

In quest’ottica, è evidente il significativo ampliamento di prospettiva che la ISO/IEC 27001 chiede al Sistema di Gestione per la Sicurezza delle Informazioni, i cui obiettivi e le cui azioni devono infatti essere definiti ed attuati sulla base di una conoscenza del contesto in grado di fornire all’organizzazione una visione complessiva e una migliore e più strategica comprensione di tutti gli elementi del proprio contesto (inquadramento sociale, dimensioni e struttura dell’organizzazione, cambiamenti normativi, finanziari e tecnologici, interazioni con gli stakeholder etc.) che possono influire sul modo in cui essa gestisce le proprie attività, consentendo allo stesso tempo di intercettare e cogliere le opportunità di prevenzione.

Sezione 5 – Leadership

Questo standard attribuisce un ruolo attivo e centrale al top management (Organo direttivo o Alta direzione) nel processo di radicamento degli impegni per la sicurezza delle informazioni nel business dell’azienda. Un messaggio molto chiaro e preciso, che la ISO/IEC 27001 esplicita sin dall’Introduzione della norma, in cui si afferma chiaramente come il successo di un SGSI dipenda dall’impegno di tutti i livelli e di tutte le funzioni dell’organizzazione, guidate e indirizzate a tal fine dal suo Top Management, a cui spetta anzitutto il compito di cogliere e di valorizzare le opportunità connesse alla sicurezza delle informazioni, in particolare quelle che presentano implicazioni sotto il profilo strategico e competitivo.

La ISO/IEC 27001:2017 chiede inoltre all’alta direzione di assicurarsi che la Politica per la sicurezza delle informazioni e gli obiettivi siano coerenti e compatibili con gli indirizzi strategici e con il contesto dell’azienda: l’analisi del contesto, come detto sopra, fornisce input fondamentali al Top Management per identificare sia gli indirizzi strategici dell’organizzazione (Politica ed obiettivi per la sicurezza delle informazioni), sia le funzioni aziendali con ruoli e responsabilità rilevanti per la loro realizzazione.

Sezione 6 – Pianificazione 

Il Punto 6 della norma è dedicato alla Pianificazione del Sistema e può considerarsi il “cuore” della ISO/IEC 27001:2017, in cui da un lato, trovano applicazione e si connettono i tre concetti di contesto, azioni per affrontare il rischio e opportunità e dall’altro, la pianificazione degli obiettivi per la sicurezza delle informazioni ed il loro raggiungimento. 

Il processo di pianificazione va impostato secondo una logica risk-based, mirata ad identificare e a valutare rischi e opportunità connessi ai fenomeni di sicurezza delle informazioni, al fine di determinare le azioni da sviluppare per assicurare che il Sistema non solo raggiunga i suoi obiettivi, ma prevenga o riduca effetti e conseguenze indesiderati connessi alle attività, prodotti e servizi dell’organizzazione e ne amplifichi benefici ed effetti positivi.

Sezione 7 – Supporto 

Il punto 7 della norma riguarda la gestione e il controllo di tutte le risorse e gli asset all’interno dell’organizzazione sia esse intese come risorse umane, come infrastrutture, come ambiente di lavoro ecc.

La sezione include inoltre i requisiti relativi alla competenza, consapevolezza, comunicazione e controllo delle informazioni documentate (i documenti e le registrazioni richiesti per i processi).

In questo punto, si trovano tutti i requisiti relativi alla competenza, consapevolezza, comunicazione, formazione, processo di assunzione ed informazione documentata.

L’informazione documentata è un fortissimo elemento innovativo, sostituisce i termini “procedure” e “registrazioni” e può essere redatta e conservata nella forma che l’organizzazione ritiene più adeguata in funzione delle proprie esigenze, rischi ed opportunità. L’estensione delle informazioni documentate di un sistema di gestione per la sicurezza delle informazioni può variare in base alla: 

  • Dimensione dell’organizzazione e al tipo di attività, processi, prodotti e servizi
  • Complessità dei processi
  • Competenza del personale
  • Infrastruttura informatica aziendale

Sezione 8 – Attività operative 

Tale sezione descrive il controllo operativo che deve eseguire l’organizzazione sui suoi processi e in che modo debba essere preparata a soddisfare tutti i requisiti per la sicurezza delle informazioni, rappresentando la parte l’operativa concreta del SGSI. 

L’organizzazione in questa fase mette in atto le prestazioni relative alle valutazioni sul rischio di sicurezza delle informazioni a intervalli pianificati, archiviando le informazioni documentate per registrare i risultati e dare evidenza del raggiungimento degli obiettivi prefissati. 

Sezione 9 – Valutazione delle prestazioni 

Questa sezione definisce i requisiti necessari per il monitoraggio, la misurazione, l’analisi e la valutazione dell’efficacia del sistema di gestione. Infatti, come per gli altri standard strutturati con un HIGH LEVEL STRUCTURE, all’organizzazione è richiesto di impostare il processo in modo molto più articolato, coerente e innestato sul Sistema di Gestione sicurezza delle informazioni, definendo chiaramente:

  1. Cosa misurare e monitorare
  2. Quando misurare e monitorare
  3. Quando analizzare e valutare i risultati delle misurazioni e dei monitoraggi

Sezione 10 – Miglioramento 

È chiaramente esplicitato in questo punto della norma l’obiettivo del sistema di gestione sicurezza delle informazioni, ovvero quello del miglioramento delle performances di prevenzione e viene enfatizzato un messaggio che avrebbe dovuto già essere compreso da tempo dalle organizzazioni dotate di un SGSI certificato: le non conformità hanno una connotazione positiva nella gestione del Sistema e devono pertanto essere “vissute” dall’azienda in modo costruttivo e funzionale all’efficacia del Sistema stesso, infatti, un SGSI efficace è quello in cui gli scostamenti dai requisiti, sono tempestivamente rilevati dal personale dell’organizzazione e sono utilizzate come leva per alimentare il miglioramento. Da qui la scelta della ISO/IEC 27001 di inviare il segnale esplicito dell’inserimento delle NC nel Punto norma dedicato al miglioramento continuo.

Lo standard ISO/IEC 27001 prevede anche l’Allegato A che delinea 114 controlli per aiutare a proteggere le informazioni in molteplici aree dell’organizzazione. Questo fornisce inoltre una guida per le migliori pratiche e rappresenta un valido riferimento per valutare quali controlli siano più adatti all’organizzazione.

A CHI è RIVOLTA LA ISO 37001

A chi è rivolta la ISO 37001

Lo standard UNI ISO 37001:2016 può essere applicato a qualsiasi organizzazione, sia pubblica che privata, di qualsiasi dimensione, indipendentemente dalle attività commerciali e dal settore, e grazie alla sua impostazione secondo la HIGH LEVEL STRUCTURE, la struttura tipica che caratterizza anche altri sistemi di gestione, può essere facilmente integrata in un sistema di gestione esistente.

la proposta

la proposta

Qualifica Group srl, grazie ad una comprovata esperienza decennale nel settore della consulenza aziendale è in grado di valorizzare le attività e le risorse delle aziende committenti, riducendo gli sprechi e incrementando le performances aziendali interne ed esterne, mediante:

Fase 1 – Incontro con i principali referenti dell’azienda per eseguire un check-up aziendale, in tale incontro si acquisiranno i dati interni aziendali attraverso interviste ai dirigenti aziendali e ai responsabili di settore nonché si reperirà la documentazione aziendale necessaria;

Fase 2 – Rilevazione di eventuali difformità tra quanto applicato in azienda rispetto a quanto previsto nella norma UNI ISO 37001:2016

Fase 3 – Stabilire ruoli e allocare risorse laddove la fase precedente abbia fatto emergere lacune o necessità;

Fase 4 – Individuazione del RPC (responsabile della prevenzione della corruzione);

Fase 5 – Analisi del contesto, dei rischi e delle opportunità e sviluppare un programma di miglioramento;

Fase 6 – Analisi delle attività aziendali che possono avere impatto significativo sull’organizzazione con verifica delle leggi applicabili alla specifica realtà aziendale;

Fase 7 – Stabilire la politica di prevenzione della corruzione;

Fase 8 – Preparare i flussi dei processi;

Fase 9 – Preparare tutta la documentazione ritenuta necessaria per attuare un SGA efficace per la Vostra Organizzazione;

Fase 10 – Formazione il personale sulla normativa ISO 37001:2016;

Fase 11 – Monitorare il programma di miglioramento;

Fase 12 – Audit periodici per riesaminare le performance aziendali con la direzione;

Fase 13 – Individuare l’ente di certificazione più adatto alle esigenze di certificazione;

Fase 14 – Supporto durante la visita dell’ente di certificazione;

Fase 15 – Chiusura di eventuali NC;

Fase 16 – Interfaccia con l’ente per monitorare lo stato di emissione del certificato;

Fase 17 – Supporto al mantenimento della certificazione per gli anni successivi.

Come si evince i requisiti della norma sono generici e necessariamente lo devono essere considerando che tale normativa è applicabile a tutte le realtà, piccole o medie imprese, soggetti privati e pubblici, pertanto sarà compito di Qualifica Group progettare un abito su misura per soddisfare le aspettative del management e realizzare un sistema di gestione per la prevenzione della corruzione che sia adeguato all’organizzazione.

i vantaggi

i vantaggi

I Vantaggi di certificarsi secondo lo standard internazionale UNI ISO 37001:2016 sono:

  • Conformità legislativa: implementando un sistema di gestione conforme alla normativa UNI – ISO 37001 risulta possibile impostare tutta una serie di attività e procedure finalizzate alla prevenzione e al contrasto della corruzione
  • Competitività: una migliore immagine aziendale sul mercato
  • Economici: riducendo in modo rilevante il fenomeno corruttivo mediante l’applicazione di efficaci strumenti di misura e prevenzione, con conseguenti vantaggi economici
  • Riduzione del rischio sanzionatorio: la certificazione rilasciata da un ente indipendente può costituire l’ evidenza concreta dell’adozione di buone prassi contro la corruzione
  • Rating di legalità: la ISO 37001 potrà essere utilizzata dalle imprese a riprova del possesso del requisito di cui all’art. 3, comma 2, del Regolamento attuativo del Rating di Legalità, requisito che richiede l’adozione di modelli organizzativi di prevenzione e contrasto alla corruzione ai fini dell’assegnazione di un +, utile all’aumento del punteggio (Delibera AGCM del 14 novembre 2012, n. 24075)
  • Spendibilità: la certificazione del Sistema di Gestione per la Prevenzione della Corruzione conferisce un valore aggiunto all’Organizzazione in termini di maggiore accesso a gare pubbliche

Potrebbe interessarti anche

divisore

Contattaci

Credito d’imposta fino al 50% per acquisto beni per un massimo di 2,5 milioni di euro