Certificazione ISO 37301: sistema di gestione della compliance

Il 13 aprile 2021 è stata pubblicata la norma ISO 37301 (norma certificabile, quindi è possibile ottenere una certificazione ISO 37301) che ha sostituito e superato la precedente UNI ISO 19600:2016.

L’ISO 37301 è il nuovo standard internazionale appositamente progettato per tutte le aziende e organizzazioni che intendono adottare o implementare un sistema integrato di gestione della conformità, uno strumento efficace per la gestione dei temi di conformità nonché per tutte quelle realtà che si pongono l’obiettivo di parametrare il proprio sistema di gestione alle best practice internazionali, al fine di incrementare il valore effettivo dell’organizzazione e quello percepito dai clienti.

Cosa prevede la normativa ISO 37301?

Questo standard indica i requisiti che un’azienda deve implementare per costruire un vero e proprio compliance management system – finalizzato a garantire la conformità a disposizioni cogenti e volontarie – per poter richiedere, successivamente, di essere certificata ISO 37301.

La norma ISO 37301, per ottenere la certificazione ISO 37301, applicabile a tutte le organizzazioni sia pubbliche che private, sia profit che a scopo di lucro, indica i requisiti per progettare, definire e mantenere, in ottica di un miglioramento continuo, un sistema di gestione della compliance per il controllo dei rischi. Le prescrizioni contenute nella nuova norma ISO 37301 si basano sui principi di buona governance, proporzionalità, integrità, trasparenza, accountability e sostenibilità, e descrivono le componenti, i requisiti e i processi chiave di un adeguato compliance management system.

Ai fini dell’implementazione dello standard e della certificazione ISO 37301, come si può evincere direttamente dalla norma ISO 37301 stessa, si parte dagli obiettivi (integrità, cultura, conformità, valori etici e reputazione) e dai principi dell’organizzazione (strategia, leadership, trasparenza, cultura del controllo e del rischio, sostenibilità, integrazione, governance) prevedendo il consolidato ciclo Plan – Do – Check – Act.

Il legame con la norma ISO 37001

La ISO 37001 e la ISO 37301, entrambe certificabili, sono standard internazionali appositamente progettati per la gestione della compliance in generale (ISO 37301) e della compliance in materia di prevenzione della corruzione (ISO 37001); più precisamente:

• ISO 37001: è lo standard internazionale appositamente progettato per tutte le aziende e le organizzazioni che intendono adottare uno strumento efficace per prevenire, tutelarsi e combattere la corruzione. Lo standard indica i requisiti che occorre implementare per costruire un sistema di gestione anticorruzione.
• ISO 37301: è il recentissimo standard internazionale appositamente progettato per tutte le aziende e organizzazioni che intendono adottare uno strumento efficace per la gestione dei temi di conformità nonché per tutte quelle realtà che si pongono l’obiettivo di parametrare il proprio sistema di gestione alle best practices internazionali, al fine di incrementare il valore effettivo dell’organizzazione e quello percepito dai clienti.

La certificazione ISO 37301: in cosa consiste e quali sono i vantaggi 

Come per altri standard ISO, anche la 37301 richiede che un’azienda implementi, in modo ragionevole e proporzionato, una serie di misure e di controlli che aiutino, a gestire la compliance.

La norma ISO 37301 richiede al vertice aziendale un riesame periodico sull’adeguatezza ed efficacia del sistema di gestione per raggiungere i propri obiettivi e conseguire un miglioramento continuo. Alla funzione compliance, in particolare, vengono assegnate specifiche competenze e poteri al fine di:

1. supervisionare e assicurare la conformità del sistema di controllo;
2. relazionare al vertice aziendale e al top management sull’attuazione del sistema;
3. effettuare una valutazione dei rischi di compliance;
4. definire controlli e procedure, promuovendo una compliance policy che tenga anche conto di un sistema di whistleblowing;
5. verificare sull’attuazione del sistema procedurale e organizzativo, attraverso audit, follow up e monitoraggi periodici sull’attuazione del sistema e dei piani di azione e miglioramento dello stesso.

L’aspetto sicuramente più innovativo e di rilevanza prioritaria rispetto alla precedente Linea Guida ISO 19600:2014 è che la nuova ISO 37301 è certificabile: la certificazione del sistema di gestione della conformità ISO 37301, effettuata da un organismo di terza parte, rappresenta certamente una garanzia dell’impegno dell’organizzazione in tema di gestione dei rischi di compliance per tutti gli stakeholders di riferimento.

Confrontando le due normative:

• ISO 37001: sebbene l’adozione di questo standard non offra la garanzia assoluta che all’interno di un’azienda non si possano verificare delle attività corruttive e che quindi, anche in caso di certificazione, non ci si possa sentire definitivamente al riparo da contestazioni e sanzioni giudiziarie, certamente i vantaggi offerti da questo nuovo standard sono considerevoli e riguardano essenzialmente:
  o il rating
  o la reputazione
  o l’accesso a gare e albi fornitori che incominceranno a valutare in modo premiale tale requisito
  o un upgrade del modello 231 che guardi in un’ottica più sistemica al tema della corruzione;
• ISO 37301: consente di progettare, definire e mantenere, in ottica di un miglioramento continuo, un sistema di gestione della compliance e di controllo dei rischi legati alla compliance. Le prescrizioni contenute nella nuova norma ISO 37301 descrivono le componenti, i requisiti e i processi chiave di un adeguato compliance management system; la norma richiede al vertice aziendale un riesame periodico sull’adeguatezza ed efficacia del sistema di gestione per raggiungere i propri obiettivi e conseguire un miglioramento continuo.

Consulenza sui sistemi di gestione ISO 37001 e ISO 37301

L’Organizzazione Internazionale per la Standardizzazione ha sviluppato l’ISO 37001 e 37301 in modo flessibile, di modo che qualsiasi organizzazione o azienda (pubblica, privata, non governativa e di qualsiasi dimensione) può adottarlo. Inoltre, questo standard può essere facilmente integrato con altri sistemi di gestione già eventualmente adottati (come l’ISO 9001).

Tuttavia, per costruire un sistema di gestione ISO 37001 e ISO 37301 conforme alle richieste della norma ISO 37001 e ISO 37301e per definire tutti i processi, procedure e strumenti necessari per sottoporsi alla verifica di un ente accreditato per rilasciarne la certificazione ISO 37001 e ISO 37301, è buona prassi avvalersi anche dell’assistenza di una consulenza realmente capace di supportare un’azienda lungo tutto questo percorso.

La nostra consulenza si riferisce a tutte le aree dell’ISO 37001 ed ISO 37301:

• Risk Assessment e Gap Analysis finalizzate all’individuazione delle attività più esposte ai rischi di compliance
• Assistenza nella stesura delle policy per la gestione delle conformità.
• Implementazione del sistema di gestione ISO 37001 e ISO 37301, affiancamento dell’azienda in tutte le fasi del cammino di implementazione del sistema di gestione ISO 37001 e 37301: dalla verifica iniziale circa i requisiti previsti dallo standard, all’analisi ed engineering dei processi; dall’elaborazione della documentazione di sistema e all’implementazione dello stesso, fino all’individuazione e gestione dei contatti con l’Ente di Certificazione.
• Monitoraggio e mantenimento del sistema di gestione mediante audit interni periodici, aggiornamento della documentazione, help desk, aggiornamento legislativo, riesame della direzione assistito.
• Formazione ISO 37001 e ISO 37301: progettazione ed erogazione di formazione specifica per lavoratori, manager, responsabili di sistema di gestione ed auditor interni.
• Fornitura di un tool informatico per la gestione dei temi di compliance.