UNI ISO 37301:un passo avanti verso un approccio integrato della Compliance

I.Introduzione

In un contesto caratterizzato da una crescente globalizzazione dei mercati e da una continua evoluzione normativa, l'adeguatezza degli assetti organizzativi e il relativo controllo rappresenta ormai un principio fondante le relazioni economiche e giuridiche delle imprese.

Appare sempre più manifesta la necessità delle organizzazioni di dotarsi di un efficace sistema di governance dei rischi di compliance, il quale, attraverso un processo di identificazione e valutazione degli stessi, consente di tenere sotto controllo le conseguenze ripercuotibili su un'azienda, di migliorare la protezione e fiducia dei contraenti, utenti e consumatori e di agevolare un controllo da parte di Autorità pubbliche a tale scopo preposte.

La gestione del rischio viene introdotta in modo sistemico e quale standard certificabile dalla norma UNI ISO 31000:2018, che la rende uno strumento a protezione della creazione di valore di una azienda, quindi del suo business.

La gestione del rischio migliora le prestazioni aziendali, incoraggia l'innovazione e sostiene il raggiungimento degli obiettivi.L'integrazione della gestione dei rischi è un processo dinamico e itera-tivo, da personalizzare in base alle esigenze e alla cultura dell'organizzazione.

La gestione dei rischi dovrebbe essere sempre integrata e non separata dallo scopo organizzativo, dalla governance, dalla leadership e dall'impegno del management, dalla strategia, e quindi dagli obiettivi e operazioni.

Per questo i sistemi di compliance rappresentano un'opportunità di successo per tutte quelle organizzazioni che intendono uniformarsi agli standard di qualità in termini di organizzazione, progettazione, produzione, tutela e sostenibilità ambientale, anticorruzione ecc…, a seconda dell'obiettivo prefissato dalla norma tecnica di riferimento.

Stabilire e mantenere una "Cultura della Compliance", che tenga conto delle esigenze dell'organizzazione e dei comportamenti e attitudini delle persone che lavorano al suo interno permette, pertanto, un incremento di opportunità di business e di sostenibilità dell'azienda, una protezione e accrescimento della reputazione e della credibilità dell'organizzazione, una dimostrazione dell'impegno dell'organizzazione nel gestire i propri rischi in modo efficace ed efficiente, minimizzando in tal modo i possibili costi e danni.

Ed ecco che un approccio integrato tra i vari sistemi di controllo dei ri-schi, come suggerito anche dalle ultime linee guida di Confindustria , consente di evitare, interalia, sovrapposizioni di ruoli (o mancanza di presidi), duplicazioni di verifiche e di azioni correttive, attraverso la gestione di risorse umane, strumentali e finanziarie rivolte ad obiettivi misurabili e conseguibili in tempi preventivati.

Come precisato più avanti integrare standard volontari diversi con il Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/2001 rappresenta non già un vezzo stilistico ma una vera e propria necessità per garantire l'idoneità ed effettiva attuazione di quest'ultimo.

Il contesto sopra delineato è il terreno di coltura che ha generato la norma UNI ISO 37301:2021, "Compliance management systems – Re-quirements with guidance for use", la quale rappresenta un ulteriore passo avanti del rinnovamento della cornice regolamentare ISO, sosti-tuendo di fatto la UNI ISO 19600:2016 ("Sistemi di gestione della conformità – Linee guida").

II.Cos'è la norma UNI ISO 37301:2021?

La norma UNI ISO 37301:2021, pubblicata il 13 aprile 2021, è una certificazione volontaria che aiuta le organizzazioni a garantire la conformità a disposizioni cogenti e volontarie, mediante la definizione di requisiti e linee guida volte a sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema integrato di gestione per la compliance.

È uno standard applicabile a qualsiasi tipo di organizzazione, indipendentemente dalla dimensione, dalla natura e dalla complessità delle relative attività e dal tipo di settore (pubblico, privato o no-profit) ed ha un raggio d'azione molto ampio poiché pone l'accento su ambiti estremamente diversificati di compliance (es. corporate governance, legale & tax, ambito giuslavoristico, di salute e salubrità sui luoghi di lavoro ambientale, di prodotto, ecc.) il cui mancato rispetto può comportare danni economici e interruzione della continuità operativa.

La norma supporta le organizzazioni nella creazione di una cultura aziendale orientata alla conformità, divenendo uno strumento per la sostenibilità del business nel tempo, riducendo, al tempo stesso, i rischi connessi alla violazione di obblighi contrattuali o legali.

Lo standard ISO 37301:2021, infatti, pone le sue basi su tre obiettivi fondamentali dello sviluppo sostenibile volti a: promuovere la crescita economica duratura, inclusiva e sostenibile, la piena occupazione e il lavoro dignitoso, il rispetto dei diritti umani, le società pacifiche e inclusive orientate allo sviluppo sostenibile; garantire l'accesso indiscriminato alla giustizia e costruire istituzioni efficaci, responsabili e inclusive a tutti i livelli; rendere le città e gli insediamenti umani inclusivi, sicuri, resilienti e sostenibili.

Alla luce di tali obiettivi, la ISO 37301:2021 offre un maggiore controllo della compliance, mediante l'identificazione di una funzione posta a presidio della stessa, consente una mitigazione dei rischi reputazionali connessi alla violazione di obblighi contrattuali o legali comportando, in tal senso, anche un aumento della credibilità sul mercato in caso di sistema di gestione certificato da un ente indipendente, coerente con i parametri ESG (Environmental, Social and Governance).

III.Come opera la ISO 37301:2021

Il sistema di gestione 37301 si fonda su una struttura "HLS" (High Le-vel Structure), la quale permette una completa integrazione con gli altri standard ISO nonché con il Modello di organizzazione e controllo ex d.lgs. 231/01.

L'approccio operativo trova la sua origine nell'individuazione degli obiettivi del sistema di gestione, quali l'integrità, la cultura, la conformità, la reputazione, il valore e l'etica . Tali obiettivi trovano la loro estrinseca-zione nella definizione dei principi, quali integrità, buona governance, proporzionalità, trasparenza, accountability e sostenibilità, questi principi dunque dirigono la stesura del sistema e devono essere accettati e condivisi durante tutto il processo di compliance da parte degli operatori delle organizzazioni interessate al sistema stesso.

La conclusione della prima fase, denominata "Plan" del cd. Ciclo di Deming, apre la sequenza logica del modello volto al miglioramento continuo dei processi e all'utilizzo ottimale delle risorse.

Alla fase di pianificazione segue poi l'esecuzione del programma, in contesti circoscritti, volta ad attuare il piano, ad eseguire il processo ed a creare il prodotto, la fase di "Check" orientata allo studio degli output confrontati con i risultati attesi, ed infine, la fase di "Act", che comprende tutte le azioni volte a rendere definitivo e/o migliorare il processo.

La struttura basata su "HLS" ha reso la norma ISO 37301: 2021 un sistema di gestione di tipo "A", rispetto alla precedente ISO19600 di tipo "B", consentendo così all'organizzazione il raggiungimento di una certi-ficazione della compliance aziendale, in conformità alle norme di riferimento.

La corretta gestione integrata della compliance diviene, dunque, elemento costitutivo per la crescita sostenibile e duratura dell'impresa, poiché offre a partire dalla comprensione dell'organizzazione, del suo contesto, delle esigenze e delle aspettative delle parti interessate, dalla definizione degli obiettivi di compliance, dalla pianificazione delle azioni volte a affrontare rischi ed opportunità, dal monitoraggio e dal miglioramento delle azioni per minimizzare le non conformità, una gestione efficace e ben strutturata di tutti i rischi correlati al business e uno sviluppo della reputazione e credibilità dell'organizzazione.

Il certificato emesso da un Organismo di terza parte a seguito di uno specifico audit contribuisce ad offrire una ragionevole assicurazione per gli Stakeholders in relazione all'impegno e agli sforzi profusi dall'organizzazione stessa nella fase di adozione, implementazione efficace attuazione e controllo.

IV.Quale potrebbe essere il ruolo della norma ISO 37301 rispetto al D.Lgs. 231/2001?

Un ulteriore vantaggio dello standard ISO 37301 si delinea, anche, in relazione al D.lgs. 231/2001.

La scelta di certificare l'intero sistema di gestione della compliance non può non estendersi al ("MOG 231"), modello di organizzazione 231 (il sistema di controllo aziendale, che individua le procedure operati-ve che l'azienda sviluppa per ridurre il rischio che apicali e sottoposti commettano reati a vantaggio e/o interesse della società).

La certificazione del Sistema di gestione 37301, in assenza di una pre-scrizione normativa cogente, pur non estendendosi alla valutazione dell'idoneità ed effettività del MOG 231, consente, però, di attestare un adeguata capacità organizzativa di gestione e prevenzione dei rischi di commissione dei reati presupposto di cui al catalogo ex d.lgs. 231/01.

In guisa della predetta certificazione, l'eventuale sindacato giurisdizionale circa l'idoneità ed effettività del MOG 231 a prevenire il reato oggetto di accertamento, risulterà agevolato, non già in via presuntiva, ma per la possibilità sostanziale per l'ente inquisito di attestare una ca-pacità di controllo ed aggiornamento dei processi aziendali coinvolti dalle indagini verificata non solo dalle funzioni interne ed organismi di vigilanza ma anche dagli auditor di parte terza dell'Organismo di certificazione.

In attesa di un intervento normativo che possa riconoscere l'efficacia esimente all'integrazione dei due sistemi di controllo, come nel caso della "Sicurezza della salute sui luoghi di lavoro" (art. 30 d.lgs. 81/08) con lo standard ISO 45001 (già OHSAS 18001), sarà interessante osservare l'orientamento giurisprudenziale in merito.

Per le ragioni sovra esposte, per quanto sintetiche, è possibile ritenere che lo standard esaminato rappresenti una opportunità di particolare rilievo per le aziende che intendessero adottarlo per creare valore ed essere riconosciute sul mercato come sostenibili ed affidabili.

*a cura dell'Avv. Vincenzo Candido Renna Partner 24 ore e della Dott.ssa Laura Spano Lead Auditor ISO 37001