ISO 19600 si presenta in una nuova veste come ISO 37301

Lo standard ISO 19600 è uno standard di conformità internazionale e generalmente riconosciuto. Tenendo conto dell'adeguatezza e della proporzionalità, la ISO 19600 è applicabile a tutte le organizzazioni, indipendentemente dalle dimensioni, dalla struttura e dalla complessità dell'azienda. Le linee guida stabilite nella norma ISO 19600 fungono da guida per lo sviluppo (progettazione), l'implementazione e il mantenimento di un efficace sistema di gestione della conformità.

Certificazione

Quando è stata introdotta, nel 2014, la ISO 19600 era un sistema di gestione cosiddetto di tipo B. La certificazione delle norme di tipo B non è generalmente prevista dall'ISO. Poiché le aziende richiedono la revisione e la certificazione dei sistemi di gestione della conformità (CMS), PS 980¹ consente ai revisori di verificare l'adeguatezza e l'efficacia di un CMS.

La relazione tra lo standard PS 980 e ISO 19600 è complementare: ISO 19600 è uno standard di impostazione ("Come si progetta un CMS? Come si implementa un sistema di gestione della conformità in azienda e come si assicura il suo mantenimento?"), mentre PS 980 - come suggerisce il nome - è uno standard di audit ("Come fa l'auditor a esaminare e certificare un sistema di gestione della conformità?").

Tuttavia, il contenuto della norma ISO 19600 copre in larga misura gli elementi di base citati nella norma PS 980. Il PS 980 è esplicitamente elencato nella norma ISO 19600 come quadro specifico per la creazione di un CMS.

ISO 37301: è possibile la certificazione diretta

In risposta alla suddetta esigenza delle aziende di far certificare il proprio sistema di gestione della conformità, i comitati di standardizzazione locali stanno rivedendo lo standard ISO-19600. La modifica porterà a uno standard di tipo A, che consentirà la certificazione diretta. La norma riceverà anche un nuovo numero di riferimento: ISO 37301. Dal lavoro dei vari comitati di normazione locali, vale la pena di notare che i membri del comitato cinese stanno guidando i cambiamenti con particolare forza.

Lo standard, che si presenta nella nuova veste di ISO 37301, definirà ora i requisiti oltre alle linee guida. Sono questi requisiti a renderlo direttamente certificabile. La pubblicazione della norma ISO 37301 in inglese è prevista per il 2020.

Cosa cambia?

Sebbene le revisioni siano ancora in corso, si può già affermare che la ISO 37301 è essenzialmente uguale alla precedente, in quanto specifica la lege artis di un CMS efficace. Vengono aggiunte definizioni e note (spiegazione dei termini) e chiarimenti sulla formulazione attuale. Questo facilita l'applicazione pratica dello standard.

In termini di linguaggio, la ISO 37301 contiene ora disposizioni "shall" quando si tratta di requisiti. In confronto, la versione attuale parla di "dovrebbe", in quanto si tratta di linee guida o raccomandazioni. Inoltre, la ISO 37301 contiene un allegato con una guida all'uso con spiegazioni pratiche.

Che cosa prevede concretamente la ISO 37301?

Le aziende che vogliono iniziare a implementare una conformità efficace o sviluppare ulteriormente il proprio CMS possono seguire con fiducia l'attuale standard ISO-19600 fino alla pubblicazione della ISO 37301. Il contenuto essenziale dello standard rivisto rimane invariato.

Durante lo sviluppo (concezione) e l'introduzione del CMS, gli obiettivi di conformità sono definiti in conformità alla norma ISO 37301, tenendo conto delle dimensioni, della struttura e della complessità dell'azienda. Sulla base degli obiettivi di compliance, l'azienda deve effettuare una valutazione dei rischi di compliance (compliance risk assessment). In questo processo, questi rischi vengono analizzati e valutati per poterli classificare in base alle priorità. La priorità deriva dalla probabilità di accadimento e dall'impatto di una violazione ("probabilità e impatto").

Successivamente, l'azienda definisce i ruoli e le responsabilità ("Chi è responsabile di quale rischio di conformità?") e le misure da adottare per prime nell'ambito della cosiddetta organizzazione della conformità. Applicando un approccio basato sul rischio, le misure contro i rischi con un'alta probabilità di accadimento e un impatto grave devono essere prioritarie. La ISO 37301 prevede anche la creazione di una funzione di conformità indipendente.

Nell'ambito del mantenimento del CMS una volta introdotto, la conformità deve essere costantemente monitorata e migliorata in conformità alla norma ISO 37301.

Infine, la ISO 37301 menziona anche la comunicazione e la cultura della conformità. La comunicazione della conformità riguarda misure interne come la formazione e le direttive dei dipendenti, ma anche la comunicazione con gli stakeholder esterni. Il tema della cultura è un filo conduttore della ISO 37301: già nel primo paragrafo dell'introduzione, lo standard parla di una cultura dell'integrità e della conformità. Secondo la norma ISO 37301, questi punti sono "non solo la base ma anche l'opportunità per un'organizzazione di successo sostenibile". Tuttavia, lo standard si esprime anche con requisiti concreti sulla cultura e fornisce esempi di fattori che supportano lo sviluppo di una cultura della conformità.

In sintesi, la ISO 37301 specifica come un sistema di gestione della conformità viene sviluppato, implementato e mantenuto dall'azienda. Inoltre, sono presenti definizioni e note (spiegazione dei termini), nonché una guida all'applicazione, che aiutano a utilizzare lo standard. Queste spiegazioni non sono affatto nuove, ma attraverso la norma l'argomento della conformità diventa delimitabile e l'utente ottiene una panoramica completa sulla qualità ISO affidabile.

Cosa devono considerare le aziende?

L'aspettativa che le aziende affrontino la questione della conformità è una realtà inequivocabile. Inoltre, ci sono diverse richieste da parte di aree legate alla compliance (compliance in senso lato) come la corporate governance, la responsabilità sociale d'impresa, i principi etici e le aspettative sociali. In questo contesto, l'attuazione di una compliance efficace è percepita come una sfida importante da molte aziende.

La norma ISO 19600 (che presto diventerà ISO 37301), come standard di conformità generalmente riconosciuto, specifica come sviluppare (progettare), introdurre e mantenere in azienda un CMS efficace. Grazie all'elevato grado di concretizzazione dello standard, esso può fungere da guida per l'azienda - indipendentemente dalle dimensioni, dalla struttura e dalla complessità - per implementare una conformità efficace. L'esperienza dimostra che questo obiettivo può essere raggiunto con pochi sforzi e poche misure organizzative, soprattutto nelle piccole aziende.

Una volta che l'implementazione del CMS è avvenuta con successo, le aziende si trovano spesso a dover dimostrare questo risultato ai loro partner commerciali e ad altri stakeholder, ad esempio quando un cliente vuole o si aspetta che i suoi fornitori implementino e documentino un CMS. Può anche trattarsi di dimostrare a un (potenziale) partner commerciale o ad altri stakeholder che la compliance è presa sul serio in azienda.

Per molte aziende, l'effetto di un CMS non è trascurabile in relazione ai rischi di responsabilità in caso di violazione delle norme. In caso di violazione delle norme, un solido CMS può essere utilizzato per dimostrare l'assenza di colpa organizzativa (cfr. art. 102 StGB).

Conclusione

La norma ISO 19600, che presto sarà nota come ISO 37301, fornisce un aiuto concreto per l'attuazione di una conformità efficace. La certificazione di conformità è possibile già oggi grazie all'interazione tra la norma ISO 19600 e la PS 980. In futuro (probabilmente dal 2020), la ISO 37301 consentirà la certificazione diretta. Le ragioni per cui le aziende sono e dovrebbero essere interessate alla compliance sono molteplici. Tuttavia, le relative aspettative sulle aziende sono una realtà. Le violazioni non possono essere evitate nemmeno con il miglior CMS, ma la loro gestione sistematica e corretta è diventata un requisito. In particolare, gli autori concordano con la ISO 37301 sul fatto che l'integrità e la conformità non sono solo una base generale, ma contribuiscono in modo significativo a un'organizzazione di successo sostenibile.

Standard di prova PS 980

¹ Standard di revisione svizzero PS 980 "Principi per l'audit dei sistemi di gestione della conformità"; cfr. Germania: IDW PS 980 "Principi per un corretto audit dei sistemi di gestione della conformità".

Autori

Philipp Lüttmann, presidente nazionale del Comitato SNV per la governance delle organizzazioni

Alexander Rey, avvocato, BDO AG