di Francesco Domenico ATTISANO
Lo scorso mese (il 13 aprile) è stata pubblicata la nuova norma ISO 37301, “Compliance management systems – Requirements with guidance for use“.
L’introduzione della ISO 37301 è un ulteriore passo del rinnovamento della cornice regolamentare ISO, poichè entro la fine del 2021 è prevista l’emanazione della ISO 37000 (Linea Guida per la Governance delle Organizzazioni) e della ISO 37002 (Linea Guida per Sistemi di Gestione Whistleblowing).
Lo standard è applicabile a tutte le organizzazioni, quindi sia private che pubbliche, profit e non.
La nuova norma indica i requisiti per progettare, definire e mantenere, in ottica di un miglioramento continuo, un sistema di gestione della compliance per il controllo dei rischi.
Il Comitato Tecnico internazionale ISO/TC 309 “Governance of organizations”, con lo sviluppo della nuova ISO, ha inteso sensibilizzare sull’importanza della norma e del nuovo standard direttamente ai board delle organizzazioni.
Peraltro, tutti i requisiti specificati nel documento che fanno riferimento a un organo di governo (al cd board aziendale) si applicano al top management, nei casi in cui un’organizzazione non abbia un organo di governo e indirizzo come funzione separata (tale specifica è funzionale per le organizzazioni di piccole dimensioni, dove i due ruoli molto spesso ricadono nell’ambito delle responsabilità dello stesso soggetto/ struttura).
LA NOVITÀ PRINCIPALE DELLA ISO 37301: LA CERTIFICAZIONE
L’aspetto sicuramente più innovativo e di rilevanza prioritaria, rispetto alla precedente ISO 19600:2014, è che la nuova ISO è certificabile, descrivendo, in maniera prescrittiva, i requisiti propri alle componenti del sistema di compliance.
Il sistema di gestione ISO 37301 si configura, infatti, come “norma di tipo A”; al contrario, la ISO 19600 si limitava a indicare criteri e principi di carattere generale ( “norma di tipo B“). Per tale motivo, la ISO 37301 risulta verificabile e quindi compatibile con una vera e propria certificazione dello standard ISO.
La certificazione del sistema di gestione della conformità, effettuata da un organismo di terza parte, potrebbe rappresentare, pertanto, una ragionevole assicurazione per gli stakeholders di riferimento, dell’impegno e degli sforzi profusi dall’organizzazione xy in tema di gestione dei rischi di compliance.
Nel mentre, potrebbe consentire all’organizzazione di rilevare, analizzare (il cd as-is) e valutare le potenziali migliorie (il cd to be), in termini di efficacia del proprio sistema di gestione della conformità.
OSSERVAZIONI SUL NUOVO STANDARD ISO E ALCUNI SUOI ELEMENTI
Lo standard ISO 37301, come si legge dal sito ufficiale(1), intende contribuire agli obiettivi di sviluppo sostenibile.
Inoltre, nella norma sono riportate i seguenti termini e definizioni:
- compliance obligations: i requisiti di natura mandatoria, che un’organizzazione deve rispettare ma anche di natura volontaria, che un’organizzazione sceglie di rispettare;
- compliance culture: i valori, l’etica e i comportamenti che permeano l’organizzazione;
- conduct: il comportamento che realizza conseguenze su soggetti (interni o esterni) e sull’ambiente.
Strategia, leadership, trasparenza, cultura del controllo e del rischio, sostenibilità, integrazione, governance, sono tutti concetti inseriti nello standard ISO.
La nuova ISO 37301, pertanto, a parere di chi scrive, non inventa alcunché, ma sistematizza e consolida le migliori pratiche aziendali, agganciandosi ai concetti di moda del momento (i cd buzzword).
Dalla lettura della norma, inoltre, se si dovessero stimare le novità sostanziali, si potrebbe pacificamente sostenere che circa l’80% del nuovo standard si basa sulla ISO 19600, che è stata aggiornata ai trend attuali e hot topics.
Tale asserzione, senza alcuna vena polemica, va considerata come un’osservazione costruttiva.
Le regole prescrittive descritte nella norma, difatti, si basano sui principi di una buona governance, proporzionalità, integrità, trasparenza, accountability e sostenibilità, descrivendo le componenti, i requisiti e i processi chiave di un adeguato compliance management system (CMS).
Per quanto concerne l’implementazione dello standard, dalla lettura della ISO 37301 è evidente che si parte sempre dagli obiettivi (integrità, cultura, conformità, valori etici e reputazione) e dai correlati principi dell’organizzazione (sopra citati), prevedendo il consolidato ciclo: Plan – Do – Check – Act.
Focalizzandoci sui requisiti per l’adeguamento alla ISO 37301, si trova una chiara evidenziazione del collegamento tra la certificazione e la prova dell’effettivo impegno societario a una corretta gestione integrata della compliance. Al vertice aziendale, difatti, viene richiesto un riesame periodico sull’adeguatezza ed efficacia del sistema di gestione per raggiungere i propri obiettivi e conseguire il miglioramento continuo.
Altro elemento distintivo della ISO 37301 è l’assegnazione a una funzione/ struttura di compliance di specifiche competenze e dei poteri necessari per:
- supervisionare e assicurare la conformità del sistema di controllo (come funzione di controllo di secondo livello, raffrontandolo al framework delle 3 Linee di controllo);
- relazionare al vertice aziendale e top management sull’attuazione del sistema;
- effettuare una valutazione dei rischi di compliance;
- definire controlli e procedure, promuovendo l’approvazione di una Compliance policy (comprensiva di un sistema di whistleblowing);
- verificare sull’attuazione del sistema procedurale e organizzativo, attraverso compliance audit (e correlati follow up) e monitoraggi periodici sull’attuazione del sistema e dei piani di azione di miglioramento dello stesso.
CONCLUSIONI
In uno scenario normativo in continua evoluzione, con i mercati e in generale tutti i settori caratterizzati da instabilità e incertezza, le organizzazioni, ciascuna con un proprio modello di gestione della compliance già esistente, hanno l’opportunità di orientarsi e aspirare a conformarsi a uno standard univoco e riconosciuto.
È sempre più palese la necessità delle organizzazioni di dotarsi di una efficace governance dei rischi di conformità.
La ISO 37301, quindi, rappresenta una linea guida per le organizzazioni che intendano implementare un sistema di gestione della conformità e per quelle che cercano di valutare il proprio sistema con le best practice internazionali, al fine di incrementare il valore effettivo dell’organizzazione e quello percepito dagli stakeholder.
In conclusione, le organizzazioni che intendono preservare e migliorare la loro redditività, ma ancor di più creare valore sostenibile nel lungo termine, devono definire e mettere in pratica una cultura(2) della conformità, considerando le esigenze e le aspettative degli stakeholders. Solo in tal modo si può aumentare la fiducia delle terze parti e rafforzare la reputazione – credibilità nei confronti dell’ambiente esterno.
In buona sostanza, la compliance in generale, va vista come un’opportunità di miglioramento della sostenibilità e delle performance.
In questo nuovo contesto regolamentare, non va assolutamente dimenticato il ruolo che potrà giocare l’Internal Audit(3) (richiamato esplicitamente anche nella ISO 37301), essendo la struttura di terzo livello di difesa e creazione di valore, deputata a valutare l’adeguatezza e l’efficacia dei sistemi di controllo, gestione dei rischi e governance delle organizzazioni.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
1) Cfr. https://www.iso.org/home.html
2 Cfr. F.D. Attisano (2020) L’importanza della Risk Culture: misuriamola – Rafforzare la risk culture”; Rivista Associazione Italiana Internal Auditors n.104 gennaio – marzo 2020
3 Cfr. F.D . Attisano (2020), “Il nuovo modello delle 3 linee di controllo, al centro la creazione di valore e l’interazione” – Internal control framework; Risk & Compliance Platform Europe; www.riskcompliance.it