La norma ISO 37301 riguarda i sistemi di gestione della compliance ed è capace di indirizzare le organizzazioni nell’adozione di un efficace complesso di misure organizzative con l’obiettivo di governare i rischi aziendali in maniera integrata e permettere di fare dialogare le procedure e i controlli evitando sovrapposizioni e reciproche interferenze.

Articolo a cura di Arianna Banti e Roberta Garulli, Unità Qualità, Area Sostenibilità Integrata NIER Ingegneria

COS’È LA NORMA ISO 37301:2021 E A CHI È RIVOLTA?

La norma ISO 37301, pubblicata il 13 aprile 2021, riguarda i sistemi di gestione della compliance e si pone come obiettivo quello di aiutare le organizzazioni a diffonderne la cultura, presupposto indispensabile per assicurare comportamenti responsabili e consapevoli a tutti i livelli dell’organizzazione, a partire dall’alta direzione.

Lo standard ISO 37301 è applicabile a qualsiasi tipologia di organizzazione (privata, pubblica o no-profit) a prescindere da quale sia la sua natura o dimensione.

CHE COS’È LA COMPLIANCE?

La norma ISO 37301:2021 definisce la Compliance come rispetto degli Obblighi: soddisfacimento dei requisiti rispetto ai quali un’organizzazione deve obbligatoriamente conformarsi, così come quelli a cui sceglie si conformarsi.

In sintesi per compliance si intende il rispetto di standard (volontari e cogenti).

IN CHE CONTESTO NASCE QUESTA NORMA E QUAL È LA SUA STRUTTURA?

Lo standard ISO 37301 fa parte dell’emergente corpus normativo sulla governance delle organizzazioni, sviluppato dal Comitato Tecnico internazionale ISO/TC 309, in cui rientrano anche la norma ISO 37001:2016 riguardante la gestione dell’anticorruzione, l’ISO 37002:2021 sul fenomeno del whistleblowing, l’ISO 37000:2021 sulla governance delle organizzazioni e l’ISO 37007 sulla corporate governance (quest’ultima risulta ancora in fase di sviluppo).

La norma, così come tutte le norme ISO sui sistemi di gestione emesse da negli ultimi anni, adotta la struttura HSL (High Level Structure) che prevede una articolazione in 10 punti organizzati secondo il ciclo di Deming (PDCA: Plan , Do, Check, Act) e risulta, per questo, facilmente integrabile con altri standard.

QUALI SONO I SUOI ASPETTI PIÙ SIGNIFICATIVI?

• La valutazione dei rischi, sulla cui base l’organizzazione è chiamata a identificare e misurare i rischi di compliance. Una volta identificati gli “Obblighi di compliance” (tutti i requisiti che un’organizzazione deve rispettare obbligatoriamente o che sceglie volontariamente di rispettare) viene valutato il rischio di non compliance. L’identificazione del rischio, dunque, viene fatta mettendo in correlazione le compliance obligations con le attività, i prodotti, i servizi e gli aspetti rilevanti dei processi operativi individuandone le fonti di rischio e le situazioni di rischio. Il livello di rischio individuato detta un ordine di priorità di intervento.
  
• La cultura della compliance di cui si devono fare porta voce l’organo direttivo e l’alta direzione, sottolineando così il ruolo fondamentale della leadership in questa norma. Oltre alla responsabilità dei piani più alti però, l’ISO 37301 evidenzia anche il ruolo centrale di tutti i dipendenti nel promuovere e adottare una cultura della compliance. Tutto il personale deve infatti contribuire all’efficacia e alla gestione della compliance, viene incoraggiato ad esprimere eventuali preoccupazioni, anche in forma anonima, è spinto ad una formazione continua per assumere e raggiungere una maggiore consapevolezza.
  
• Una concreta ed efficace applicazione dei controlli operativi sui processi interni e su quelli affidati all’esterno. Come per tutte le norme sui sistemi di gestione, la pianificazione attuazione e tenuta sotto controlli dei processi, i criteri e la tipologia dei controlli sono demandati all’organizzazione stessa così come lo stabilire, attuare e mantenere un sistema di segnalazioni di non compliance, potenziali o effettive. Le segnalazioni al loro volta alimentano un processo di investigazione (gestito anch’esso con confidenzialità delle informazioni trattate) per definire un piano di azione per andare a correggere una non compliance avvenuta o prevenire una non compliance potenziale.

PERCHÉ UN’ORGANIZZAZIONE DOVREBBE IMPLEMENTARE UN SISTEMA DI GESTIONE DELLA COMPLIANCE, SE AD ESEMPIO GIÀ CERTIFICATA ISO 9001:2015, 14000:2015 o 45000:2018?

La compliance rappresenta uno dei fattori di preoccupazione più importanti per un’organizzazione, sia essa pubblica o privata.
Esponendosi a rischi di non compliance una organizzazione può incorrere in sanzioni a cui si collegano perdite economiche ma anche reputazionali.

In questo ambito la ISO 37301 adotta un approccio integrato per la gestione dei rischi di compliance evitandone la frammentazione sia a livello organizzativo che gestionale e quindi migliorandone l’efficienza.

L’applicazione dello standard e il sottoporlo a certificazione porta non solo gestire la propria organizzazione in maniera corretta, ovvero secondo i principi della buona governance, ma fornisce evidenze oggettive per dimostrarlo.
Garantire il rispetto delle norme (volontarie o cogenti) non significa appena raggiungere la conformità ma significa adottare una logica sistemica e unitaria offrendone una visione completa e integrata.

In altre parole, come ben evidenziato dalla Circolare Tecnica di Accredia DC N . 29/ 2021 relativa alle diposizioni per il rilascio delle certificazioni secondo ISO 37301:2021, lo standard ISO 37301:2021 è capace di indirizzare le organizzazioni nell’adozione di un efficace complesso di misure organizzative, con l’obiettivo di governare i rischi aziendali in maniera integrata e permettere di fare dialogare le procedure ed i controlli, riferibili anche a sistemi normativi differenti, evitando sovrapposizioni e reciproche interferenze.

PERCHÉ L’IMPLEMENTAZIONE DI QUESTA NORMA A LIVELLO AZIENDALE POTREBBE ESSERE UN OTTIMO STRUMENTO PER INSERIRSI IN UN CONTESTO DI SOSTENIBILITÀ INTEGRATA?

L’adozione dello standard ISO 37301 “dovrebbe essere basato sui principi di buon governo, proporzionalità, integrità, trasparenza, responsabilità e sostenibilità” * e contribuisce a migliorare il profilo ESG in quanto assume particolare rilevanza rispetto agli obiettivi di Sviluppo Sostenibile (SDGs):

* Fonte UNI ISO 37301:2021 Appendice A

• Siamo felici di accogliere queste nuove sfide insieme e di potervi supportare nella definizione e implementazione di un Sistema di Gestione della Compliance: scrivici a BD@nier.it