“Le organizzazioni che ambiscono ad avere successo nel lungo periodo necessitano di stabilire e mantenere una cultura della compliance, che consideri le esigenze e aspettative delle parti interessate. La compliance è pertanto non solo la base, ma anche un’opportunità, per un’organizzazione di successo e sostenibile. La compliance è un processo su base continuativa e il risultato di un’organizzazione che soddisfa i propri obblighi. La compliance è resa sostenibile incorporando essa stessa nella cultura dell’organizzazione e nei comportamenti e attitudini delle persone che lavorano al suo interno”.
È questo uno dei passaggi fondamentali riportati nella introduzione alla norma UNI ISO 37301:2021, che descrive l’implementazione di un Sistema di Gestione della Compliance.
La norma UNI ISO 37301 aggiorna e sostituisce la precedente ISO 19600, nella quale erano già presenti tutti i requisiti relativamente ad un sistema di gestione della compliance, dando ulteriore slancio alla gestione della conformità alle prescrizioni applicabili all’organizzazione.
La norma ISO 37301 fornisce i requisiti e le linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all’interno di tutte le organizzazioni, sia private che pubbliche, comprese le organizzazioni no-profit. È una cosiddetta norma di tipo A, con possibilità quindi di certificazione di parte terza, che costituisce una novità rispetto alla precedente ISO 19600.
La struttura della norma è basata sul ciclo del miglioramento continuo Plan Do Check Act (PDCA) che costituisce l’ossatura consolidata di tutte le norme ISO ed è conforme alla HLS (High Level Structure).
L’organizzazione dei requisiti consente pertanto a questa norma di essere perfettamente sovrapponibile, in termini di modello organizzativo, a tutte le altre sui sistemi di gestione più diffusi (ISO 9001:2015 – ISO 14001:2015 – ISO 45001:2018) e ad altri di più recente approvazione (es. ISO 22301:2019 sulla Business Continuity – ISO 27001:2013 sulla sicurezza dei dati).
Questo naturalmente consentirà a quelle aziende che hanno già sviluppato i propri sistemi di gestione in conformità a questi standard di integrare facilmente la nuova norma nei sistemi esistenti.
La norma UNI ISO 37301 a supporto dei Modelli 231
Ma quali possono essere le sinergie di questa nuova norma con le altre norme ISO? E quale il suo ruolo nell’efficacia esimente dei Modelli 231?
L’integrazione della UNI ISO 37301 con le altre norme già citate nella predisposizione dei sistemi di gestione va quindi a consolidare per qualsivoglia organizzazione la possibilità di dimostrare l’effettività dei Modelli di Organizzazione, Gestione e Controllo costruiti in conformità al D.Lgs. 231/2001.
A supporto di quanto appena espresso basta rifarsi a quanto riportato nella recente revisione delle Linee Guida di Confindustria, nelle quali si dichiara che “è ormai dato acquisito che il rischio di compliance, ossia di non conformità alle norme, comporta per le imprese il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazioni di norme imperative ovvero di autoregolamentazione, molte delle quali rientrano nel novero dei reati di cui al D.Lgs. 231/2001”.
L’integrazione dei sistemi, quindi, è ancora una volta scelta quasi obbligata per le organizzazioni che intendono (sempre citando le linee guida di Confindustria):
- razionalizzare le attività (in termini di risorse, persone, sistemi, ecc.);
- migliorare l’efficacia ed efficienza delle attività di compliance;
- facilitare la condivisione delle informazioni attraverso una visione integrata delle diverse esigenze di compliance, anche attraverso l’esecuzione di risk assessment congiunti, e la manutenzione periodica dei programmi di compliance (ivi incluse le modalità di gestione delle risorse finanziarie, in quanto rilevanti ed idonee ad impedire la commissione di molti dei reati espressamente previsti come fondanti la responsabilità degli enti).
E ancora: “In quest’ottica, un approccio integrato dovrebbe, quindi, contemplare procedure comuni che garantiscano efficienza e snellezza e che non generino sovrapposizione di ruoli (o mancanza di presidi), duplicazioni di verifiche e di azioni correttive, in termini più ampi, di conformità rispetto alla copiosa normativa di riferimento, laddove tali ruoli rispettivamente incidano e insistano sui medesimi processi. Le società tenute al rispetto delle diverse normative dovrebbero valutare l’opportunità di predisporre o integrare tali procedure tenendo conto delle peculiarità sottese a ciascuna di esse, portando a sintesi gli adempimenti, individuando le modalità per intercettare e verificare gli eventi economici e finanziari dell’impresa nell’ottica del corretto agire.”
Appare chiaro pertanto che un “Sistema di Gestione Integrato” aziendale si prefigura come cardine per il presidio efficace di diversi fronti “sensibili” e “rilevanti”, sia nell’ottica del rispetto dei requisiti delle norme ISO, sia nel costruire l’insieme di procedure e protocolli su cui fondare i Modelli e dimostrarne la reale aderenza ai processi aziendali.
Questo passaggio amplifica in maniera inequivocabile la necessità del superamento di un’ottica in cui il Modello 231 di una azienda sia esclusivamente concepito come un insieme di documenti portati in approvazione al CdA.
I documenti redatti sono certamente fondamentali ma definiscono semplicemente il perimetro del reale sistema di regole scritte e dei presidi di controllo (formalizzati e diffusi, oltre che attuati) messi in campo per prevenire la commissione dei reati 231.
Qual è quindi il ruolo specifico della norma ISO 37301 rispetto al D.Lgs. 231/2001?
Innanzitutto, la norma ISO 37301 per la sua trasversalità copre tutti gli adempimenti di Compliance che un’azienda deve tenere monitorati e a cui deve adempiere. Si tratta di un elemento di enorme differenziazione rispetto ad altre norme ISO che invece attengono a determinati ambiti (basti pensare alla ISO 45001 in tema di salute e sicurezza, alla ISO 14001 in tema ambientale, alla ISO 37001 in tema di anticorruzione e alla ISO 27001 in tema di sicurezza dell’informazione).
In più, la norma sui Sistemi di Gestione della Compliance non solo intercetta le altre norme ISO ma crea una matrice su cui costruire il ciclo P-D-C-A anche per altri ambiti di compliance relativi a reati 231 o potenzialmente tali che non dispongono, allo stato attuale, di un sistema di gestione normato e specifico (reati tributari, societari, ecc.).
Altro innegabile beneficio è che la norma può essere certificata.
I Modelli 231 non sono certificabili, seppur esistono strumenti per dimostrare l’adeguatezza e l’effettività del Modello stesso. La possibilità di certificare il sistema di gestione della Compliance conforme alla norma UNI ISO 37301:2021, tanto più se integrato col Modello 231 di un’organizzazione, permetterà di dimostrare che il Modello di Compliance viene anche controllato e “confermato” da un Organismo di Certificazione di parte terza oltre che dall’attività di monitoraggio continuo dell’Organismo di Vigilanza.
Tutto quanto poc’anzi esposto costituisce un ulteriore punto di forza nel caso l’organizzazione debba dimostrare l’efficacia esimente del proprio Modello in sede giudiziaria.