La normativa ISO 37301:2021 per la certificazione dei sistemi di gestione della compliance rappresenta una novità di non poco momento in tema di “cultura della conformità legale”.
Se “in campo economico ed organizzativo con il termine compliance normativa (o regulatory compliance, in italiano anche conformità normativa) si intende la conformità a determinate norme, regole o standard; nelle aziende la compliance normativa indica il rispetto di specifiche disposizioni impartite dal legislatore, da autorità di settore nonché di regolamentazioni interne alle società stesse” (https://it.wikipedia.org/wiki/Compliance_normativa) essa trova spazio in un immaginario sistema volontario di “consapevolezza” che, anche in prospettiva futura, contempla la “Gestione della Governance” (ISO 37000), il Whistleblowing (ISO 37002) o l’Anti-Birbery (ISO 37001:2016).
Cosa significa essere compliant
Se, ancora, è ormai consueto l’approccio alle attività di una organizzazione basato sulla “preventiva analisi/valutazione/mitigazione dei rischi”, allora è ancor più innovativo immaginare che un medesimo metodo si applichi proprio con riguardo alla valutazione/gestione di quei “sistemi” che vigilano la corretta gestione dei rischi.
Si scrive in questa sede in termini generali e partendo da un dato di fatto: essere compliant per una organizzazione significa aver attuato, in relazione a un rischio correlato a un obbligo normativo, protocolli, procedure, controlli, audit.
Fermo restando che detto obbligo derivi da norme di legge o da norme tecniche a adesione volontaria, talora gli ambiti si sovrappongono.
Si considerino, per esempio, i rischi connessi
- alla gestione dei dati informatici
- a un certo ambito in materia ambientale
- alla sicurezza sul lavoro.
In ognuna di queste aree una impresa dovrà, in tema di compliance (conformità), istituire presidi che ottemperino alle “norme di legge o equiparate” di settore:
- sistema GDPR
- procedure ambientali
- DVR.
Ma la stessa impresa potrà andare oltre l’obbligo normativo imponendo a sé stessa ulteriori regole ad adesione volontaria quali quelle dei sistemi di gestione UNI – ISO 1) 27001, 2)14001, 3) 45001, per rimanere nell’esempio.
La conformità in ambito Pmi
L’esperienza, però, dimostra che dotarsi di sistemi di gestione volontari come quelli da ultimo richiamati, ovvero di modelli organizzativi o procedurali complessi, non è ancora garanzia del fatto che l’“onere di conformità” sia assolto nel migliore dei modi.
Senza considerare il mondo della microimpresa – dove il DVR o il manuale GDPR sono ancora troppo spesso “orpelli” indigesti redatti con operazioni a “cartiera” fondate sul “copia/incolla”, e che quindi raramente trovano applicazione (un po’ come capita con la diffusissima certificazione ISO UNI 9001 ottenuta e ricercata spesso più per ragioni reputazionali e di vantaggio operativo che per vera adesione a esigenze organizzative consapevoli) – anche in ambito PMI il tema della conformità molto spesso evidenzia grande debolezza.
Ad oggi solo le imprese più grandi e strutturate dispongono di uffici o funzioni interne dedicate alla compliance, e questo certamente è il sintomo più evidente di quanto il tema della conformità sia ancora poco digerito dagli operatori di settore.
In questo senso, forse, prevale il percepito per cui se è facile immaginare la correlazione “compliance”//”rispetto delle normative interne (cogenti o volontarie) e esterne”, parimenti ancora si associa l’attuazione dei sistemi per raggiungere tale obiettivo a visioni di “costo” che portano a collocare, nella scala delle priorità aziendali, tali aspetti sempre “dopo” altre e più pressanti esigenze.
Occorre però aver chiaro che, e potrebbe essere un punto di svolta, se l’essere inadempienti ai requisiti imposti da un sistema di gestione volontario determina la non certificabilità del sistema (e, dunque, una potenziale carenza organizzativa) il non ottemperare a una norma cogente determina delle responsabilità, anche penali, in capo a plurimi soggetti aziendali, ovvero all’ente stesso (si considerino le previsioni di cui al D. Lgs. 231/01) e, alla fine, sanzioni.
“Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione” (Disposizioni di Vigilanza – La Funzione di conformità, Banca d’Italia 10/07/2007).
La novità dello standard ISO 37301:2021
Dunque, in questo senso la compliance, garantendo il rispetto della conformità legale (interna o esterna), esprime un’attitudine proattiva (e preventiva) a evitare/eliminare il potenziale danno in forza della integrazione necessaria dei sistemi di gestione e degli obblighi giuridici, delle procedure e dei protocolli e, infine, dei controlli di operatività di questi ultimi.
Avremo, quindi, in relazione alle funzioni aziendali e alla governance delle policies interne, dei sistemi di reporting, dei sistemi di controllo, dei sistemi di valutazione del rischio e delle precise attribuzioni di responsabilità.
Alla luce della premessa svolta fin qui si comprende come sia davvero impattante la novità introdotta dallo standard ISO 37301:2021 ovvero quella di poter di certificare il sistema di gestione della compliance.
E ciò, anche, perché tale aspetto porta con sé anche delle implicazioni positive che vanno ben oltre la semplice conformità legislativa impattando direttamente sul margine di miglioramento dell’organizzazione anche in ottica ESG.
Gli elementi specifici della norma UNI ISO 37301
Possiamo, dunque, affermare che il rischio vigilato dal sistema in parola è quello della violazione di legge: la semplice adozione di un sistema di presidi dovrebbe comportare, in termini di sanzioni evitate, reputazione, fiducia degli stakeholders, un beneficio.
Gli elementi specifici della norma sono quello tipici dei sistemi di gestione UNI ISO:
- l’analisi del contesto
- il campo di applicazione del sistema di gestione
- la valutazione dei rischi di compliance
- l’individuazione dei ruoli
- la definizione di responsabilità e autorità per la gestione della compliance
- l’adozione di una Compliance Policy
- l’adozione di controlli e procedure per raggiungere gli obiettivi per la compliance
- gli audit interni
- l’attività di riesame.
La certificazione potrà essere chiesta da qualunque tipo di organizzazione al di là della dimensione e della natura privatistica o pubblicistica di essa e l’ottenimento non sarà mai da intendere quale meccanismo di presunzione di idoneità di altri modelli di gestione adottati nell’organizzazione medesima. Non opera in questo senso alcuna estensione o commistione.
L’ottenimento della certificazione in parola, per esempio, non darà mai una patente di idoneità all’eventuale modello di gestione e organizzazione implementato ai sensi del D. Lgs. 231/01.
E in questo senso occorre fermamente dissociarsi da alcuni messaggi, certamente equivoci, per come comparsi in concomitanza dell’adozione del sistema UNI ISO 37301 per cui esso sarebbe quello che “certifica i modelli”.
Se è vero che un sistema di gestione della compliance certificato, intanto, in quanto sia effettivo, coordinato, governato, vigilato potrà esplicitare benefici anche con riguardo al tema del rispetto di altri sistemi, o sottosistemi, ad adozione volontaria ferma restando l’autonomia di ciascuno di essi, è parimenti vero che il modello ex D. Lgs. 231/01, per esempio, trova origine in obblighi di conformità previsti per legge che determinano che, al verificarsi di determinati reati presupposto che impattano in termini di vantaggio o utilità sulla vita dell’azienda, l’ente risponda penalmente a titolo autonomo rispetto all’autore del reato. L’ente sarà imputato e se condannato sottoposto a pena. Non vi è dubbio allora che il “sistema 231” sia da considerarsi sistema a sé stante rispetto a quello finalizzato alla certificazione in discussione.
L’individuazione del rischio nella UNI ISO 37301
Un ultimo aspetto che si ritiene interessante indagare è quello circa la individuazione/valutazione del rischio governato dalla UNI ISO 37301.
In questo senso si prende quale riferimento la Circolare Tecnica DC n. 29/21 di Accredia all’interno di cui si legge, proprio con riguardo alla valutazione del rischio:
“… per la scelta della tabella corretta tra quelle riportate deve essere valutato il livello di rischio in base a quanto segue:
Rischio alto
- Se l’organizzazione richiedente la certificazione sia stata coinvolta negli ultimi 5 anni in indagini giudiziarie.
- Se l’organizzazione è una multinazionale, che opera in contesti giuridici diversi.
- Se l’organizzazione è identificata come “gruppo di società”, ovvero “holding”, ove vi sia una elevata complessità di “governance” e/o dove siano presenti diverse configurazioni, ancorché facenti capo a una gestione centralizzata, del Sistema di controllo interno e rischi.
È possibile quindi rilasciare una certificazione di “gruppo” che ricomprenda diverse legal entities, ma solo in presenza di una struttura organizzativa “centralizzata” che gestisce e controlla la compliance per tutte le società del gruppo (si veda IAF MD01).
Le organizzazioni con 250 o più dipendenti oppure ogni organizzazione, anche con meno di 250 dipendenti, con un fatturato superiore a 50 milioni di euro e un bilancio superiore (valore patrimoniale netto) ai 43 milioni di euro.
Sono in ogni caso da considerarsi a rischio alto:
- le aziende di servizi finanziari;
- le aziende che gestiscono servizi di pubblica utilità quali servizi di comunicazione elettronica, postali, di trasporto, di energia elettrica, di gas, di acqua;
- le imprese che producono beni o erogano servizi soggetti ad accreditamenti, autorizzazioni o permessi dello Stato e di altre autorità competenti;
- le aziende del settore socio-sanitario;
- le Pubbliche amministrazioni;
- gli enti pubblici economici;
- le società in controllo pubblico o partecipate dal pubblico;
- le fondazioni e associazioni, riconosciute o meno;
- gli enti del Terzo settore (es. organizzazioni di volontariato, organismi per la cooperazione) e cooperative sociali.
Se l’organizzazione che ricade nella categoria rischio alto ha una funzione interna di compliance e/o di internal audit, il livello di rischio è da classificarsi come medio.
Rischio medio
- Se l’organizzazione ricade nella categoria delle Piccole/medie imprese (PMI) che abbia tra 50 e 249 dipendenti e che non abbia una funzione strutturata di compliance.
Rischio Basso
- Se l’organizzazione non rientra nelle due precedenti categorie.
Rischio limitato
- Non applicabile.
Tali criteri di valutazione danno un’indicazione attendibile di quali saranno, verosimilmente, i destinatari privilegiati del sistema UNI ISO 37301, ovvero le organizzazioni più “grandi” e meglio strutturate.
Appare irrealistico, infatti, pretendere di certificare la compliance di realtà medio piccole se prima esse non si siano ben formate al rispetto della “cultura della conformità” e non abbiano fatto un “salto” anche “etico” e di consapevolezza verso queste tematiche.
Le tematiche di sostenibilità
In questo senso non sfugga il forte richiamo proprio alle tematiche di sostenibilità in chiave ESG che sottendono l’adozione e l’implementazione di questo sistema, siano esse considerate il punto di partenza ovvero il punto di arrivo di un percorso di miglioramento aziendale che a tendere sarà necessario per ogni realtà imprenditoriale.
Proprio in questo senso, e per altro verso, organizzarsi secondo i requisiti della UNI ISO 37301 potrebbe rappresentare l’occasione, per le organizzazioni oggi più lontane da questo sentire, di generare innovazione secondo regole di prudenza, di previsione, di gestione dei rischi e con una prospettiva by design ossequiosa dell’ottica di accountability ormai nota.
Conclusioni
Valga, infine, un’ultima considerazione: la maggiore o minore diffusione del sistema in commento non la determinerà solo il mercato ma, ancora una volta, prevarrà da un lato lo stimolo del legislatore che potrà correlare l’esigenza di migliorare la propria “conformità” a benefici diretti e indiretti, ma anche il sistema del credito (e finanziario) che, come sta capitando in ambito ESG, potrà imporre, per stare sul mercato, l’adozione della certificazione dei sistemi di conformità per ottenere finanziamenti o condizioni bancarie di favore, o incentivi o bonus rendendo così l’adeguamento un obiettivo di breve o medio periodo.