COMPLIANCE - ISO 37301

13/04/2021
In data di oggi, 13 aprile 2021, è stata pubblicata la nuova norma ISO 37301 sui sistemi di gestione della compliance.

Lo standard ISO 37301, applicabile a qualsiasi tipologia di organizzazione, di natura pubblica o privata, prevede i requisiti per progettare, stabilire e mantenere, nell'ottica del miglioramento continuo, un sistema di gestione della compliance per il controllo dei relativi rischi. 

La norma (certificabile) subentra alla ISO 19600 del 2014 (linee guida non certificabili). Gli step previsti per la realizzazione di un sistema di gestione della compliance in conformità alla norma ISO 37301 comprendono:l'analisi e l'identificazione del quadro di riferimento legale e regolatorio da considerare nell'ambito del più ampio contesto esterno ed esterno dell'organizzazione, una valutazione dei rischi di compliance, l'assegnazione a una funzione compliance dei compiti e dei poteri necessari per supervisionare e assicurare la conformità del sistema di controllo e relazionare al top management sull'attuazione del sistema, la definizione e l'attuazione di controlli e procedure finalizzati ad assicurare gli obiettivi di compliance (incluse procedure di "whistleblowing"), il monitoraggio sull'attuazione del sistema (compresi audit interni), un riesame periodico da parte dei vertici dell'organizzazione sull'idoneità ed efficacia del sistema di controllo dei rischi di compliance a raggiungere i propri obiettivi e a conseguire il miglioramento continuo. 

Tra gli aspetti più significativi del nuovo standard vi è forte attenzione alla "cultura" aziendale, oggetto di specifico requisito, quale presupposto indispensabile per assicurare l'efficacia del sistema di compliance attraverso condotte e comportamenti responsabili e consapevoli a tutti i livelli dell'organizzazione, a partire dal top management.

La ISO 37301 adotta  un approccio integrato per il controllo dei rischi di compliance, che in molte realtà aziendali risulta frammentato, sia a livello organizzativo che gestionale, e quindi poco efficiente.

Inoltre, nella norma si sottolinea come in molti ordinamenti la prova dell'effettivo impegno a una corretta gestione della compliance venga valorizzata in sede giurisdizionale quando si tratti di determinare la responsabilità delle aziende per illeciti ad esse ascrivibili o per inottemperanza di prescrizioni di legge da cui possono derivare sanzioni rilevanti.
A livello italiano risulta evidente il collegamento con la responsabilità ex D.Lgs 231/2001 e con il meccanismo esimente della prova dell'idoneità e dell'efficacia del Modello di Organizzazione per la prevenzione dei reati rilevanti in tale ambito.

Tale considerazione è avvalorata da quanto avvenuto in Spagna dove è stata introdotta nel 2015 la responsabilità penale degli enti con un meccanismo esimente speculare a quello della "231" italiana. 

L'ente spagnolo di normalizzazione ha pubblicato nel 2017 la norma UNE 19601:2017, il cui contenuto coincide in massima parte con quello delle linee guida ISO 19600 e dello standard anticorruzione ISO 37001, per stabilire e attuare un sistema di gestione della compliance penale in ottemperanza a quanto previsto dal codice penale spagnolo. 

La certificazione secondo i requisiti della UNE 19601 rappresenta un elemento indiziario di cui l'organo giudiziario deve tenere conto per valutare l'idoneità del modello esimente adottato rispetto ai requisiti di legge (mentre l'efficacia del modello resta nel libero apprezzamento del giudice). 

Per maggiori informazioni: s.aldini@certiquality.it