L’incremento del rischio reputazionale, i nuovi adempimenti e la responsabilità anche sociale delle organizzazioni stanno determinando la crescita di una consapevolezza sempre più strutturata attorno al concetto di compliance e alle sue applicazioni. Un efficace sistema di gestione per la compliance rappresenta sia una base sia un’opportunità per un’organizzazione di successo e sostenibile, che può così dimostrare il proprio impegno a conformarsi a leggi, requisiti regolamentari e contrattuali, codici di settore e specifiche organizzative.
Ne parliamo con il Vice Direttore Generale e Direttore del Dipartimento Certificazione e Ispezione di Accredia Emanuele Riva, che è uno degli autori di “La nuova norma UNI ISO 37301:2021 – Sistemi di gestione per la Compliance, Requisiti. Istruzioni applicative per aziende e professionisti” edito da UNI.
Prima di tutto, cosa intendiamo quando parliamo di compliance?
Dobbiamo tornare indietro al 2006 per trovare un richiamo alla compliance nelle norme sviluppate dall’ISO CASCO nella UNI EN ISO 17021:2006. La traduzione italiana di questo primo riferimento alla compliance reca “il sistema di gestione del cliente e le prestazioni con riferimento al rispetto delle prescrizioni legali”. Qualche anno dopo, nella versione successiva della UNI EN ISO 17021:2011, il termine compliance è tradotto in due modi differenti, come conformità in un requisito e come prescrizione in un altro. Solo con la ISO 19600:2014 viene esteso il concetto, dalla compliance legale a tutte le prescrizioni alle quali un’organizzazione deve conformarsi.
Nella Treccani scopriamo che questo termine anglosassone, intraducibile in italiano, per la verità deriva dal latino complere ovvero “compiere, portare a termine”. Una traduzione corretta potrebbe essere, allora, quella di “compiere il proprio dovere”.
Come potremmo racchiudere, allora, il significato del concetto di compliance?
Per questo dobbiamo prendere in considerazione una serie di sviluppi che si sono realizzati negli ultimi due decenni nel mondo delle professioni, dell’economia e dell’amministrazione. Sviluppi strettamente collegati tra loro che hanno portato, tra l’altro, alla nascita in Italia del D.Lgs. 231/2001.
Il provvedimento ha introdotto, come noto, il concetto di responsabilità amministrativa degli Ente per gli illeciti dipendenti da reato, prevedendo che le disposizioni in esso contenute si applichino agli Enti con personalità giuridica e alle società e associazioni anche prive di personalità giuridica. Rivoluzionando, quindi, il panorama giuridico e creando un nuovo tipo di responsabilità d’impresa, dalla quale si può essere esenti soltanto definendo un modello organizzativo idoneo a prevenire i reati riconducibili alla specifica attività dell’impresa stessa.
Emerge quindi un forte collegamento tra il D.Lgs. 231/2001 e la UNI ISO 37001, la norma rispetto alla quale un’organizzazione può chiedere a un organismo accreditato la certificazione del proprio sistema di gestione. Però questa correlazione non è netta, perché, se il sistema giuridico del decreto individua una responsabilità di tipo penale, la compliance si limita a richiedere che sia messo a punto un sistema in cui ci si deve trovare in conformità.
Quale rapporto esiste tra il D.Lgs. 231/2001 e la norma UNI ISO 37301?
Se un Modello 231 deve essere adottato ed efficacemente attuato per avere efficacia esimente della responsabilità amministrativa, la UNI ISO 37301, e la relativa certificazione accreditata, dovrà essere lo strumento di governance che fornisce alle organizzazioni l’opportunità di gestire e individuare sistemi di controllo per raggiungere la conformità.
A questo punto non è difficile rendersi conto del fatto che il termine compliance si basa sulla capacità dell’organizzazione di definire ex ante la condotta di azione da seguire e i criteri con cui le singole azioni verranno valutate. Realizzando controlli operativi capaci di limitare i relativi rischi e le verifiche in grado di evidenziare il grado di compliance/conformità del proprio sistema.
Occorre, quindi, verificare il rispetto di uno standard, in termini di conformity, o il rispetto di una legge, nel senso della legal compliance?
Forse, al momento attuale non abbiamo tutte le risposte a questa domanda. Quello che è certo, è che un sistema certificato a norma UNI ISO 37301 deve essere un sistema reale, non un castello di carte.
Quando ciò si verifica, vuol dire che l’avere adottato il modello proposto dalla UNI ISO 37301 come strumento per la gestione della compliance aziendale non si è limitato al solo “compiere il proprio dovere”, ma al “compiere il proprio dovere con consapevolezza e competenza”.
Un Modello 231 deve essere adottato ed efficacemente attuato per avere efficacia esimente della responsabilità amministrativa. Che, a sua volta, non dipende dalla certificazione UNI ISO 37301 ma dalla serietà/efficacia con la quale il sistema è stato concepito e applicato. La certificazione accreditata UNI ISO 37301 è una conseguenza, non il fine ultimo.
Con questo obiettivo, Accredia ha emesso la Circolare tecnica DC n. 29/2021 – Disposizioni in merito all’accreditamento per lo schema CMS, ai fini del rilascio di certificazioni ISO 37301:2021. Il documento descrive le possibili esclusioni, i criteri di competenza del Gruppo di verifica, gli obblighi di comunicazione, i tempi di audit e la valutazione del livello di rischio che va da alto a medio e basso.
Quindi, riassumendo, come possiamo sintetizzare la compliance?
La compliance è resa disponibile incorporando essa stessa nella cultura dell’organizzazione e nei comportamenti e attitudini delle persone che lavorano al suo interno. Perché la compliance viaggia insieme all’integrità, alla conoscenza dei rischi e allo sviluppo di un Sistema di Controllo Interno per la loro mitigazione.
La compliance è una faccia della medaglia. La seconda faccia si chiama cultura dell’integrità. Il risultato di questo processo? Fiducia e reputazione.