La nuova norma UNI ISO 37301
Che cos’è la UNI ISO 37301
Poniamo l’attenzione sulla UNI ISO 37301:2021, che descrive l’implementazione di un Sistema di Gestione della Compliance.
Viene definita l’importanza e il ruolo che potrà avere questa norma già dalla stessa “Introduzione” della norma stessa che recita: “Le organizzazioni che ambiscono ad avere successo nel lungo periodo necessitano di stabilire e mantenere una cultura della compliance, che consideri le esigenze e aspettative delle parti interessate. La compliance è pertanto non solo la base, ma anche un’opportunità, per un’organizzazione di successo e sostenibile.
La compliance è un processo su base continuativa e il risultato di un’organizzazione che soddisfa i propri obblighi. La compliance è resa sostenibile incorporando essa stessa nella cultura dell’organizzazione e nei comportamenti e attitudini delle persone che lavorano al suo interno”.
La norma UNI ISO 37301:2021 e altre norme volontarie ISO
La norma UNI ISO 37301 aggiorna e sostituisce la precedente ISO 19600, dando ulteriore slancio alla gestione della conformità alle prescrizioni applicabili all’organizzazione con l’obiettivo dichiarato di coinvolgere sempre di più il Top Management nel presidio.
La norma ISO 37301 fornisce i requisiti e le linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all’interno di tutte le organizzazioni, sia private che pubbliche, comprese le organizzazioni no-profit.
È una cosiddetta norma di tipo A, con possibilità quindi di certificazione di parte terza, che costituisce una novità rispetto alla precedente ISO 19600.
La struttura della norma è basata sul ciclo del miglioramento continuo Plan Do Check Act (PDCA) ed è perfettamente sovrapponibile, a tutte le norme sui sistemi di gestione più o meno diffusi (ISO 9001:2015 – ISO 14001:2015 – ISO 45001:2018 – ISO 22301:2019 sulla business continuity – ISO 27001:2013 sulla sicurezza dei dati).
I contenuti della norma – punti comuni e peculiarità
Introduzione
L’obiettivo è quello di “sviluppare e diffondere una positiva cultura della “compliance” valorizzandone i benefici in termini business e di sostenibilità, di protezione e accrescimento del “brand”, di soddisfacimento delle aspettative delle parti interessate, di gestione del rischio, di prevenzione delle possibili violazioni e dei danni conseguenti. La leadership da parte del Top Management è fattore determinante di successo.
Di seguito i capitoli della norma
1. Termini e definizioni
Definizioni già note quali: Organizzazione, Parte interessata, Rischio.
Definizioni interessanti quali: “Organismo di governo” “Funzione di compliance” “cultura della compliance”.
2. Contesto dell’Organizzazione
Comprensione del contesto interno ed esterno in cui opera l’organizzazione, un’analisi dell’intero modello di business, delle relazioni con gli stakeholders e contesto legale e regolamentare dove l’azienda opera.
Analisi delle esigenze ed aspettative delle parti interessate per l’individuazione di quelli significativi da considerare nello sviluppo del sistema di gestione.
3. Campo di applicazione
Deve tenere conto dei confini geografici ed organizzativi a cui si applica il sistema stesso, in particolare se l’organizzazione è di dimensioni maggiori.
Il tema compliance può essere “ramificato” e complesso in ragione della complessità aziendale (es. Multinazionali)
Vengono inseriti due requisiti addizionali e caratteristici rispetto ad altri sistemi ISO
-
-
- Obblighi di compliance quali requisiti del processo di identificazione degli obblighi di compliance e delle modifiche degli stessi nel tempo
- Processo di valutazione dei rischi di compliance quale identificazione e valutazione dei “rischi di compliance” relativamente alle attività interne all’organizzazione ed a quelle affidate all’esterno o a terze parti.
-
4. Leadership
Organismo di governo ed Alta Direzione, accomunate da una serie di obblighi che devono dimostrare l’impegno alla compliance. La “cultura della compliance” attraverso la leadership ed il commitment degli organi di governo deve essere promossa a tutti i livelli.
Importanza strategica assume il ruolo della “funzione di compliance”, responsabile delle attività operative del sistema di gestione ed in particolare del processo di valutazione dei rischi di compliance, del monitoraggio delle performance, del reporting e della emersione delle cosiddette “preoccupazioni”, ha “accesso diretto all’organismo di governo”, è indipendente e possiede appropriate autorità e competenze.
5. Pianificazione
Definizione delle azioni per affrontare rischi ed opportunità, definizione degli obiettivi per la compliance e per la pianificazione delle modifiche. Lo schema, comune ad altre norme, consente di inserire gli obiettivi di miglioramento in un programma unico integrato e strutturato, approvato dal Top Management.
6. Supporto
Grande attenzione all’atto dell’assunzione ed inserimento di nuovo personale nell’organizzazione come del suo trasferimento e/o promozione dove sono necessarie procedure di due diligence preliminari al fine di considerare i rischi di compliance.
7. Attività operative
Processo di “emersione delle preoccupazioni” pianificato, attuato e mantenuto per consentire un adeguato reporting.
8. Valutazione delle prestazioni
Processi di monitoraggio di avanzamenti degli obiettivi di compliance e degli indicatori di performance. Tra cui le “informazioni di ritorno (feedback) sulle prestazioni dalle diverse fonti significative per l’organizzazione. Processo di reporting relativo alla compliance ed alla protezione da alterazioni.
Viene dedicato un adeguato spazio al processo di auditing interno sviluppato in coerenza con la norma ISO 19011 (audit per il sistema di gestione). Il processo di riesame coinvolge sia l’Organismo di governo che l’Alta Direzione che definiscono i livelli di riesame all’interno dell’organizzazione coerente con i poteri di cui alla governance della stessa.
9. Miglioramento
Segue le logiche consolidate dei sistemi di gestione, (non conformità e azioni correttive), con i modelli già disponibili in altri processi aziendali.
La norma UNI ISO 37301 a supporto dei Modelli 231
“è ormai dato acquisito che il rischio di compliance, ossia di non conformità alle norme, comporta per le imprese il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazioni di norme imperative ovvero di autoregolamentazione, molte delle quali rientrano nel novero dei reati di cui al D.Lgs. 231/2001”. (cit. Linee guida Confindustria)
La norma UNI ISO 37301:2021 costituisce una possibile “ossatura comune” su cui andare a incastrare e fondere gli altri sistemi di gestione HS. Questa visione di “Sistema Integrato” rappresenta un utile, se non indispensabile, supporto anche per dare sostanza e dimostrare l’effettività dei Modelli di Organizzazione, Gestione e Controllo costruiti in conformità al D.Lgs. 231/2001.
Il passaggio ad una compliance integrata permette di evitare la pluralità di processi, informazioni potenzialmente incoerenti, controlli potenzialmente non ottimizzati, con conseguente ridondanza nelle attività e consente alle Aziende di:
- razionalizzare le attività (in termini di risorse, persone, sistemi);
- migliorare l’efficacia ed efficienza delle attività di compliance;
- facilitare la condivisione delle informazioni attraverso una visione integrata delle diverse esigenze di compliance, anche attraverso l’esecuzione di risk assessment congiunti, e la manutenzione periodica dei programmi di compliance (ivi incluse le modalità di gestione delle risorse finanziarie, in quanto rilevanti ed idonee ad impedire la commissione di molti dei reati espressamente previsti come fondanti la responsabilità degli enti).
Un approccio integrato prevede procedure comuni che garantiscano efficienza e snellezza e che non generino sovrapposizione di ruoli (o mancanza di presidi), duplicazioni di verifiche e di azioni correttive, in termini più ampi, di conformità rispetto alla copiosa normativa di riferimento, laddove tali ruoli rispettivamente incidano e insistano sui medesimi processi.
Quale potrebbe essere quindi il ruolo specifico della norma ISO 37301 rispetto al D.Lgs. 231/2001?
Potere certificare l’intero sistema di gestione della Compliance conforme alla norma UNI ISO 37301:2021, legato e permeato col Modello 231 permetterà all’organizzazione di dimostrare che il suo “Modello” di Compliance integrato viene anche controllato e “confermato” da un Organismo di Certificazione di parte terza, rinforzando la posizione dell’azienda nel caso debba di mostrare l’efficacia esimente del proprio Modello in sede giudiziaria.
La norma ISO 37301 a differenza dalle altre norme ISO che sono specifiche per un determinato ambito è trasversale rispetto a tutti gli adempimenti di Compliance che un’azienda deve tenere monitorati e a cui deve La Norma interseca le norme ISO specifiche e crea una matrice, un’ossatura, su cui costruire il ciclo P-D-C-A anche per altri ambiti di compliance relativi a reati 231 o potenzialmente tali che non dispongono, allo stato attuale, di un sistema di gestione normato e specifico.