Conformità: ISO 19600 si presenta con un nuovo look

L'implementazione di una conformità efficace è ancora percepita da molte aziende come una grande sfida. Una volta che un sistema di gestione della conformità è stato implementato con successo, le aziende si trovano di fronte alla questione di come dimostrarlo al mondo esterno. ISO 19600-Compliance Management System è lo standard di conformità più comune. Attualmente è in corso una modifica e in futuro si chiamerà ISO 37301. La nuova norma sarà certificabile.

 

Lo standard ISO 19600 è uno standard di conformità internazionale e generalmente riconosciuto. Tenendo conto dell'adeguatezza e della proporzionalità, ISO 19600 è applicabile a tutte le organizzazioni - indipendentemente dalle dimensioni, dalla struttura e dalla complessità dell'azienda. Le linee guida stabilite in ISO 19600 servono come guida per lo sviluppo (concezione), l'introduzione e il mantenimento di un efficace sistema di gestione della conformità.

Certificazione

Quando è stato introdotto nel 2014, ISO 19600 era un cosiddetto sistema di gestione di tipo B. In linea di principio, ISO non prevede la certificazione delle norme di tipo B. Poiché le aziende richiedono una revisione e una certificazione dei sistemi di gestione della conformità (CMS), PS 980¹ permette ai revisori di esaminare l'adeguatezza e l'efficacia di un CMS.

La relazione tra lo standard PS 980 e ISO 19600 è complementare: ISO 19600 è uno standard di impostazione ("Come si progetta un CMS? Come si implementa un CMS nell'azienda e come si assicura il suo mantenimento?"), mentre PS 980 - come suggerisce il nome - è uno standard di revisione ("Come fa il revisore a esaminare e certificare un sistema di gestione della conformità?").

Tuttavia, il contenuto di ISO 19600 copre ampiamente gli elementi di base menzionati in PS 980. PS 980 è esplicitamente elencato in ISO 19600 come un quadro specifico per la creazione di un CMS.

ISO 37301: certificazione diretta possibile

In risposta alla suddetta necessità delle aziende di far certificare il loro sistema di gestione della conformità, i comitati di standard locali stanno rivedendo la norma ISO-19600. Il cambiamento risulterà in uno standard di tipo A, che permetterà la certificazione diretta. La norma avrà anche un nuovo numero di riferimento: ISO 37301. Dal lavoro dei vari comitati di normazione locali si può notare che i membri del comitato cinese stanno guidando i cambiamenti con particolare impegno.

La norma, che si presenta nella nuova veste di ISO 37301, definirà ora anche i requisiti oltre alle linee guida. Sono questi requisiti che lo rendono direttamente certificabile. La ISO 37301 dovrebbe essere pubblicata in inglese nel 2020.

Cosa cambia?

Anche se le revisioni sono ancora in corso, si può già dire che ISO 37301 corrisponde in sostanza al suo predecessore specificando la lege artis di un CMS efficace. Ciò che viene aggiunto sono definizioni e note (spiegazione dei termini) così come chiarimenti della formulazione attuale. Questo facilita l'applicazione pratica della norma.

In termini di linguaggio, ISO 37301 ora contiene disposizioni "shall" quando si tratta di requisiti. In confronto, la versione attuale usa il termine "dovrebbe", poiché si tratta di linee guida o raccomandazioni. Inoltre, ISO 37301 contiene un allegato con una "guida all'uso" con spiegazioni pratiche.

Cosa contiene in concreto la ISO 37301?

Le aziende che vogliono iniziare a implementare una conformità efficace o sviluppare ulteriormente il loro CMS possono usare con fiducia l'attuale standard ISO 19600 come guida fino alla pubblicazione di ISO 37301. Il contenuto principale dello standard rivisto rimane lo stesso.

Durante lo sviluppo (concezione) e l'introduzione del CMS, gli obiettivi di conformità sono definiti in conformità con ISO 37301, tenendo conto delle dimensioni, della struttura e della complessità dell'azienda. Sulla base degli obiettivi di conformità, l'azienda deve effettuare una valutazione dei rischi di conformità (valutazione del rischio di conformità). In questo processo, questi rischi vengono analizzati e valutati per dare loro la priorità. La priorità è determinata dalla probabilità di verificarsi e dall'impatto di una violazione ("probabilità e impatto").

In seguito, l'azienda definisce i ruoli e le responsabilità ("Chi è responsabile di quale rischio di conformità?") così come le misure da prendere prima nel quadro della cosiddetta organizzazione di conformità. Applicando un approccio basato sul rischio, le misure contro i rischi con un'alta probabilità di verificarsi e un impatto grave devono avere la priorità. ISO 37301 prevede anche la creazione di una funzione di conformità indipendente.

Come parte del mantenimento del CMS una volta che è stato introdotto, la conformità deve essere continuamente monitorata e migliorata in conformità con ISO 37301.

Infine, ISO 37301 menziona anche la comunicazione e la cultura della conformità. La comunicazione della conformità riguarda misure interne come la formazione dei dipendenti e le direttive, ma anche la comunicazione con le parti interessate esterne. Il tema della cultura è un filo conduttore che attraversa ISO 37301: nel primissimo paragrafo dell'introduzione, lo standard parla di una cultura di integrità e conformità. Secondo la ISO 37301, questi punti sono "non solo la base ma anche l'opportunità per un'organizzazione di successo sostenibile". Tuttavia, lo standard si esprime anche con requisiti concreti sulla cultura e fornisce esempi di fattori che supportano lo sviluppo di una cultura della conformità.

In sintesi, ISO 37301 specifica come un sistema di gestione della conformità è sviluppato, implementato e mantenuto dall'azienda. Inoltre, ci sono definizioni e note (spiegazione dei termini) e una guida all'applicazione, che aiutano nell'uso della norma. Queste spiegazioni non sono affatto nuove, ma attraverso lo standard il tema della conformità diventa delimitabile e l'utente ottiene una panoramica completa nella qualità ISO affidabile.

Cosa devono considerare le aziende?

L'aspettativa che le aziende affrontino la questione della conformità è una realtà inequivocabile. Inoltre, ci sono varie richieste da aree legate alla conformità (conformità in senso più ampio) come la governance aziendale, la responsabilità sociale aziendale, i principi etici e le aspettative sociali. In questo contesto, l'implementazione di una conformità efficace è percepita da molte aziende come una grande sfida.

ISO 19600 (presto ISO 37301) come standard di conformità generalmente riconosciuto specifica come un efficace CMS è sviluppato (progettato) e introdotto e mantenuto nell'azienda. Grazie all'alto grado di concretizzazione dello standard, può servire come guida per l'azienda - indipendentemente dalle dimensioni, dalla struttura e dalla complessità - per implementare una conformità efficace. L'esperienza mostra che questo può essere raggiunto con poco sforzo e poche misure organizzative, specialmente nelle piccole aziende.

Una volta che l'implementazione del CMS ha successo, le aziende spesso affrontano la questione di come dimostrarlo ai loro partner commerciali e alle altre parti interessate - per esempio, quando un cliente vuole o si aspetta che i suoi fornitori implementino e documentino un CMS. Può anche essere una questione di dimostrare a un (potenziale) partner commerciale o ad altri stakeholder che la conformità è presa sul serio all'interno dell'azienda.

Per molte aziende, l'effetto di un CMS in relazione ai rischi di responsabilità in caso di violazione delle regole non è insignificante. In caso di violazione delle regole, un solido CMS può fornire la prova dell'assenza di colpevolezza organizzativa (cfr. art. 102 StGB).

Conclusione

ISO 19600, che sarà presto noto come ISO 37301, fornisce un aiuto concreto per l'attuazione di una conformità efficace. La certificazione di conformità è già possibile oggi attraverso l'interazione di ISO 19600 e PS 980. In futuro (probabilmente dal 2020), ISO 37301 permetterà la certificazione diretta. Le ragioni per cui le aziende sono e dovrebbero preoccuparsi della conformità sono molte e varie. Tuttavia, le aspettative corrispondenti sulle aziende sono una realtà. Le violazioni non possono essere prevenute nemmeno con il miglior CMS, ma la loro gestione sistematica e corretta è diventata un requisito. Gli autori sono d'accordo con ISO 37301, in particolare, che l'integrità e la conformità non sono solo una base generale, ma contribuiscono significativamente a un'organizzazione di successo sostenibile.

Note a piè di pagina:

Standard di prova PS 980

¹ Standard svizzero di revisione PS 980 "Principi per l'audit dei sistemi di gestione della conformità"; cfr. Germania: IDW PS 980 "Principi per un corretto audit dei sistemi di gestione della conformità".

 

Autori: Philipp Lüttmann, presidente nazionale del comitato SNV "Governance delle organizzazioni"; Alexander Rey, avvocato, BDO AG

(Visited 1.778 times, 1 visits today)

Altri articoli sull'argomento