Penale

Pubblicata la normativa ISO 37301:2021. Riflessi anche sui Modelli Organizzativi ex D.lgs. 231/2001

Mai come nell'ultimo anno è emersa con chiarezza l'esigenza di una efficace governance dei rischi aziendali. Come è noto, il lungo periodo di emergenza sanitaria ha infatti provocato un forte senso di incertezza economica e instabilità normativa, unito all'esigenza di rispondere a un rischio inedito e derivante da fattori esterni all'organizzazione aziendale.

di Fabrizio Ventimiglia e Marco Marengo *


Mai come nell'ultimo anno è emersa con chiarezza l'esigenza di una efficace governance dei rischi aziendali. Come è noto, il lungo periodo di emergenza sanitaria ha infatti provocato un forte senso di incertezza economica e instabilità normativa, unito all'esigenza di rispondere a un rischio inedito e derivante da fattori esterni all'organizzazione aziendale.

Questo contesto ha messo a dura prova i tradizionali sistemi di corporate compliance. Si è così imposta un'accelerazione verso soluzioni "integrate", capaci di far dialogare efficacemente presidi, procedure, organi di controllo e flussi informativi riferibili a sistemi normativi differenti, evitando sovrapposizioni e reciproche interferenze.

A questa rinnovata esigenza sembra opportunamente rispondere la recente pubblicazione dello standard ISO 37301:2021 per la certificazione dei sistemi di compliance.

La ISO 37301 si pone infatti l'obiettivo di delineare un nuovo sistema di gestione della compliance, capace di orientare le imprese nell'adozione di un efficace complesso di misure organizzative e protocolli volti, tra l'altro, a governare i rischi aziendali.

In particolare, la nuova norma sviluppa e sostituisce la precedente ISO 19600:2016, rispetto alla quale introduce interessanti elementi di novità. Tra gli altri, merita di essere evidenziato il salto di qualità da linea guida a norma certificabile.

Il sistema di gestione ISO 37301 si configura, infatti, quale "norma di tipo A": mentre il precedente sistema normativo si limitava a indicare criteri e principi di carattere generale – c.d. "norma di tipo B" – la norma di recente introduzione descrive invece, in maniera prescrittiva, i requisiti propri alle componenti del sistema di compliance. Per questo motivo, la ISO 37301 risulta "verificabile" e quindi compatibile con una vera e propria certificazione dello standard ISO.

La disponibilità di uno standard certificabile avente ad oggetto i sistemi di gestione della compliance impone – tra le altre – una riflessione sul raccordo con i Modelli di Organizzazione, Gestione e Controllo adottati ai sensi del D.lgs. 231/2001 .

Al riguardo, è necessario premettere che i presidi e i protocolli elaborati nell'ambito dei Modelli Organizzativi si caratterizzano per la specifica finalità di prevenire una serie ben delimitata di illeciti penali, c.d. "reati presupposto" (art. 24 e ss. D.lgs. 231/2001).

Questa caratteristica suggerisce di tenere distinto – quantomeno – il processo di elaborazione e implementazione dei Modelli Organizzativi, da un lato, e quello dei sistemi di gestione ISO, dall'altro. Tuttavia, con specifico riferimento alla nuova ISO 37301, non è possibile ignorare le sovrapposizioni destinate a crearsi tra i due sistemi.

Se il rischio di interferenze tra i Modelli Organizzativi e i sistemi di gestione ISO è noto da tempo, la nuova ISO 37301 sembra portare le interconnessioni con il D.lgs. 231/2001 su di un nuovo livello.

Come è noto, pur interessando in maniera unica e trasversale tutti i processi aziendali, il D.lgs. 231/2001 non è che una delle Leggi di cui la Funzione Compliance è chiamata a curare la corretta applicazione. L'adozione e la concreta attuazione di un Modello Organizzativo, nonché il suo stato di aggiornamento e adeguatezza, è pertanto uno degli obiettivi di quei sistemi di compliance che la ISO 37301 si propone di disciplinare e certificare.

I Modelli Organizzativi, nel definire adeguati presidi per la prevenzione dei reati presupposto, non possono a loro volta rinunciare a descrivere e disciplinare il sistema di verifiche e controlli interni di compliance, in assenza del quale le realtà più complesse e articolate sarebbero esposte a rischi non accettabili.

Le Società che sceglieranno di adeguare il proprio sistema di compliance allo standard ISO 37301:2021, dovranno pertanto farlo rivolgendo un occhio di riguardo anche a quanto eventualmente già previsto dal proprio Modello Organizzativo. In caso di discrasie, sarà pertanto necessario adeguare i presidi e i protocolli formulati ai fini del D.lgs. 231/2001.

In un'ottica di compliance integrata, la normativa ISO 37301 sembra pertanto in grado di riflettersi anche sui contenuti dei Modelli Organizzativi.

In assenza di una norma di coordinamento come quella prevista dal D.lgs. 231/2001 con riferimento alla normativa OHSAS 18001 (superata dalla recente ISO 45001), sarà allora interessante osservare come la giurisprudenza si orienterà nel verificare l'idoneità astratta dei Modelli Organizzativi le cui previsioni, con riferimento alla gestione delle verifiche e dei controlli interni di compliance, siano state allineate allo standard ISO 37301.

* a cura dell'Avv. Fabrizio Ventimiglia e del Dott. Marco Marengo (Studio Legale Ventimiglia)

Per saperne di piùRiproduzione riservata ©