Con la circolare tecnica n. 29/21 del 7 luglio 2021 Accredia ha emanato disposizioni in merito ai requisiti per l’accreditamento degli Organismi di Certificazione ai fini del rilascio delle certificazioni per lo standard ISO 37301:2021 relativo ai sistemi di gestione per la compliance – Compliance Management System (CMS).
A seguito della pubblicazione, lo scorso 13 aprile da parte della ISO (International Standard Organization), della norma internazionale ISO 37301:2021, Accredia ha provveduto nei giorni scorsi ad emanare delle disposizioni operative necessarie a guidare l’accreditamento degli enti che dovranno rilasciare la certificazione sui sistemi di gestione della compliance.
Con la circolare 29/2 l’Ente nazionale di accreditamento, ha – innanzi tutto – sottolineato l’esigenza avvertita nel mercato di consentire agli operatori, mediante un approccio sistematico al tema della compliance, una gestione organica dei rischi organizzativi e della loro prevenzione.
Una necessità, secondo Accredia, assecondabile con lo standard ISO 37301 il quale potrebbe rivelarsi “capace di indirizzare le organizzazioni nell’adozione di un efficace complesso di misure organizzative, con l’obiettivo di governare i rischi aziendali in maniera integrata e permettere di fare dialogare le procedure ed i controlli, riferibili anche a sistemi normativi differenti, evitando sovrapposizioni e reciproche interferenze”.
La ISO 37301:2021, evoluzione della Linea guida ISO 19600:2014, rappresenta il passaggio da un sistema di gestione di tipo B, ossia non certificabile, ad un sistema di gestione di tipo A, dunque certificabile.
L’Ente di accreditamento prevede che una tale evoluzione consentirà che i modelli di compliance, attualmente per lo più declinati in best practice o linee guida settoriali, possano essere finalmente riferiti ad una norma internazionale, dunque generalmente riconosciuta, e soggetta a certificazione da organismi di terza parte.
Il che offrirebbe risvolti senz’altro apprezzabili anche sul piano dei modelli 231 rispetto ai quali – in assenza di criteri normativi o sub-normativi univoci per la relativa valutazione di idoneità – lo schema CSM potrebbe rappresentare un valido punto di riferimento per la loro corretta elaborazione ed attuazione.
La circolare di Accredia si concentra in particolar modo su alcuni aspetti collegati all’applicazione della norma quali:
- La specificazione del significato e delle declinazioni della compliance;
- La determinazione delle basi oggettive su cui strutturare e attuare il proprio sistema di gestione per la compliance, come l’analisi del contesto; il campo di applicazione (scope) del sistema di gestione; la valutazione dei rischi di compliance; l’individuazione di ruoli, responsabilità e autorità per la gestione della compliance; l’adozione di una Compliance Policy, che possa incoraggiare anche i raising concerns, ossia le segnalazioni di sospetti di violazioni e ritorsioni; la definizione e l’attuazione di controlli e procedure finalizzate ad assicurare il raggiungimento degli obiettivi per la compliance (incluse procedure di raising concerns/segnalazioni); gli audit interni per il monitoraggio sull’attuazione del sistema; il riesame del governing body e del top management circa l’idoneità, adeguatezza ed efficacia del sistema di gestione per raggiungere i propri obiettivi e conseguire il miglioramento continuo.
- La descrizione dettagliata, infine, del processo di certificazione ed accreditamento.
Il senso dello standard in fase di prossima concreta attuazione è, da ultimo riassunto in un’espressione utilizzata da Accredia nella circolare, secondo cui “Se incorporata in tutti i processi e nella cultura delle persone che lavorano nell’impresa, la compliance rappresenta uno strumento di successo per minimizzare il rischio di una violazione di legge e i relativi costi e danni alla reputazione, aumentando la fiducia delle parti interessate e proiettando l’impresa verso un successo sostenibile e al passo con i tempi”.