La norma (certificabile) subentra alla ISO 19600 del 2014 (linee guida non certificabili).
Gli step previsti per la realizzazione di un sistema di gestione della compliance in conformità alla norma ISO 37301 comprendono:
- l’analisi e l’identificazione del quadro di riferimento legale e regolatorio da considerare nell’ambito del più ampio contesto esterno ed esterno dell’organizzazione,
- una valutazione dei rischi di compliance,
- l’assegnazione a una funzione compliance dei compiti e dei poteri necessari per supervisionare e assicurare la conformità del sistema di controllo e relazionare al top management sull’attuazione del sistema,
- la definizione e l’attuazione di controlli e procedure finalizzati ad assicurare gli obiettivi di compliance (incluse procedure di “whistleblowing”),
- il monitoraggio sull’attuazione del sistema (compresi audit interni), un riesame periodico da parte dei vertici dell’organizzazione sull’idoneità ed efficacia del sistema di controllo dei rischi di compliance a raggiungere i propri obiettivi e a conseguire il miglioramento continuo.
Tra gli aspetti più significativi del nuovo standard vi è forte attenzione alla “cultura” aziendale, oggetto di specifico requisito, quale presupposto indispensabile per assicurare l’efficacia del sistema di compliance attraverso condotte e comportamenti responsabili e consapevoli a tutti i livelli dell’organizzazione, a partire dal top management.
La ISO 37301 adotta un approccio integrato per il controllo dei rischi di compliance, che in molte realtà aziendali risulta frammentato, sia a livello organizzativo che gestionale, e quindi poco efficiente.
Inoltre, nella norma si sottolinea come in molti ordinamenti la prova dell’effettivo impegno a una corretta gestione della compliance venga valorizzata in sede giurisdizionale quando si tratti di determinare la responsabilità delle aziende per illeciti ad esse ascrivibili o per inottemperanza di prescrizioni di legge da cui possono derivare sanzioni rilevanti.
A livello italiano risulta evidente il collegamento con la responsabilità ex D.Lgs 231/2001 e con il meccanismo esimente della prova dell’idoneità e dell’efficacia del Modello di Organizzazione per la prevenzione dei reati rilevanti in tale ambito.
A chi si rivolge la ISO 37301:2021 e a chi serve?
La produzione normativa sempre più articolata, la nascita di nuove responsabilità e il rischio reputazionale hanno portato le organizzazioni ad essere sempre più attente ai problemi di compliance.
Lo standard ISO 37301, applicabile a qualsiasi tipologia di organizzazione, di natura pubblica o privata, prevede i requisiti per progettare, stabilire e mantenere, nell’ottica del miglioramento continuo, un sistema di gestione della compliance per il controllo dei relativi rischi.
Questo standard non si applica ad un unico settore, ma costruisce un sistema di gestione che si adatta alle esigenze specifiche dell’organizzazione, garantendo molteplici benefici: incrementare le opportunità di business, aumentare la fiducia degli stakeholder, dimostrare il proprio impegno nella gestione del rischio di conformità e mitigare il rischio reputazionale
La norma contribuisce al raggiungimento dei seguenti SDG (Sustainable Development Goals):
Ulteriori news sono disponibili nel Blog QMS Italia
