ISO 37301
Compliance Management Systems
La norma ISO 37301, pubblicata il 13 aprile 2021, è una certificazione volontaria che aiuta qualsiasi organizzazione a garantire la conformità a disposizioni cogenti e volontarie.
Lo standard aiuta le organizzazioni a progettare, mantenere e migliorare un sistema volto a garantire il rispetto delle normative cogenti applicabili all’organizzazione e ai suoi prodotti/servizi, oltre ai requisiti volontari cui l’organizzazione sceglie di conformarsi (ad esempio capitolati di fornitura, codici, regolamenti, ecc.).
Inoltre, l’organizzazione può gestire la conformità ai requisiti cogenti e volontari in logica di compliance integrata. Lo standard, infatti, stimola l’organizzazione ad un approccio integrato al controllo dei rischi di conformità, di consueto gestiti da comparti diversi dell’organizzazione, pertanto il rispetto delle “compliance obligations” diventa robusto, condiviso e consapevole.
La ISO 37301 ha un raggio di azione molto ampio perché pone l’accento su ambiti estremamente diversificati di compliance (es. corporate governance, legal & tax, ambito giuslavoristico, di salute e salubrità sui luoghi di lavoro ambientale, di prodotto, ecc.) il cui mancato rispetto, anche se di matrice colposa, può portare a danni economici e interruzione della continuità operativa.
ISO 37301:2021 - Gestione della conformità
Il Sistema di Gestione della Conformità riflette i valori, gli obiettivi, la strategia e i rischi di conformità dell’organizzazione, tenendo conto del suo contesto.
Ogni organizzazione è diversa e soggetta a peculiari necessità. Gli obblighi di conformità sono mutevoli (nuove disposizioni e nuovi obblighi) e vanno identificati per garantire la conformità continua dell’organizzazione.
Le modifiche non si esauriscono in meri adempimenti documentali ma hanno ricadute operative con un impatto da individuare e adempimenti da rimodulare.
Il principio “Risk thinking based”, presente in numerosi standards o leggi, viene applicato nelle organizzazioni multinorma, ridondando le analisi ingenerando la consequenziali presenza di più Analisi dei Rischi, fatte da soggetti diversi, con metodologie di difformi e talvolta in contrasto fra loro.
Con la 37301 l’organizzazione identifica, analizza e valuta i propri rischi di conformità sulla base di una valutazione del rischio di conformità, ed integra i diversi sistemi di gestione.
I vantaggi
ISO 37301:2021 – Le novità
Alcune novità dello standard ISO 37301 sono i punti:
- 4.5 Compliance Obligations: l’organizzazione deve identificare sistematicamente i propri obblighi di conformità, riconoscendo i nuovi obblighi di conformità e valutandone l’impatto sui propri processi e adempimenti.
- 4.6 Compliance Risk Assessment: si introduce una nuova Analisi del Rischio, che non misuri i rischi dell’organizzazione, già gestiti attraverso gli altri standard, ma che si occupi nello specifico di valutare periodicamente i rischi di eventuali non conformità.
- 5 Leadership: Rispetto ad altre norme, che mettono in capo all’Alta Direzione, Top Management nella versione inglese, le incombenze di leadership e impegno, la ISO 37301 introduce l’Organo Direttivo o Governing Body.
- Il Governing Body è la persona o un gruppo di persone che ha la responsabilità ultima e l’autorità per le attività, la governance e le politiche di un’organizzazione e a cui riferisce l’alta direzione e dalla quale l’alta direzione è ritenuta responsabile. Fra i suoi compiti vi è la supervisione del Top Management, assicurandosi che sia misurato rispetto al raggiungimento degli obiettivi di compliance e al funzionamento del Sistema di Gestione della Conformità.
- 5.3.2 Compliance Funcion, introduce una specifica Funzione di Conformità, che sia responsabile di facilitare l’individuazione degli obblighi di conformità; documentare la valutazione del rischio di conformità, monitorare e misurare le prestazioni in tema di Compliance Management System.
- 5.3.3 Management e 5.3.4 Personnel introducono specifici adempimenti e attività per le funzioni organizzative con compiti di responsabilità e in generale per il personale tutto, invitandoli a adottare comportamenti proattivi, per permettere ai sistemi di divenire realmente integrati.
- 7 Support: i punti 7.2.2 Employment process e 7.2.3 Training stressano particolarmente il concetto di verifica preliminare e poi di costante sensibilizzazione del personale verso gli obblighi di compliance dell’organizzazione.
- 7.4 Communication: viene approfondito rispetto ad altri standard, toccando elementi solitamente inesplorati quali la richiesta di considerare gli aspetti della diversità e le potenziali barriere a livello comunicativo, garantire che le opinioni delle parti interessate siano prese in considerazione, veicolare la propria cultura della conformità e altro ancora.
- 8 Operations: il Punto 8.2 Establishing controls and procedures prevede l’implementazione di controlli e periodici riesami di verifica degli obblighi di conformità. I Punti 8.3 Raising concerns (Segnalazione di dubbi) e 8.4 Investigation process prevedono che si instauri un processo per incoraggiare le segnalazioni, accertarle, investigarle e proteggere il segnalante.
- 9 Performance: i punti 9.1.2 Sources of feedback on compliance performance, 9.1.3 Development of indicators e 9.1.4 Record-keeping prevedono lo sviluppo di processi atti alla raccolta di feed back e indicatori sulle proprie prestazioni di conformità.