Introdurre la gestione della conformità in una PMI

A causa della loro complessità percepita e della spesa temuta, i sistemi di gestione della conformità non hanno ancora trovato il loro posto in molte PMI. Questo nonostante il fatto che l'ambiente sia cambiato significativamente a causa dell'aumento dell'applicazione della legge contro le aziende e i membri del top management, e le violazioni di conformità possono portare a significativi rischi di responsabilità per le aziende e il loro management e minacciare la reputazione e l'esistenza di un'azienda.

Assistenza alla conformità anche per le PMI
Lo standard internazionale ISO 19600 "Compliance management systems - Guidelines", pubblicato nel dicembre 2014, supporta le PMI nell'implementazione e nel mantenimento di un sistema di gestione della conformità (CMS) efficace e di successo. La ISO 19600:2014 (ora pubblicata anche in tedesco da DIN) è applicabile a tutte le organizzazioni e, secondo il principio di adeguatezza e proporzionalità, è una linea guida adatta indipendentemente dalla dimensione, struttura, tipo e complessità dell'azienda. Così, un CMS secondo ISO 19600:2014 può essere adattato all'azienda senza molta burocrazia supplementare. L'esperienza pratica dimostra che bastano poche misure e procedure organizzative e una quindicina di pagine di testi originali (decisione del consiglio di amministrazione sui valori e la governance, politica di conformità, istruzioni sui rischi principali, piano di formazione, piano di audit e di reporting) per costruire un CMS semplice e robusto, che, se vengono prese le giuste misure, è probabilmente superiore a molti CMS di una grande società internazionale nella sua coerenza come sistema e nella sua efficacia.

Per mezzo di un efficace CMS secondo ISO 19600:2014, un'azienda può assicurare con un alto grado di efficacia il rispetto degli obblighi vincolanti. Questo elimina o minimizza i rischi di conformità e aumenta la certezza del diritto.

Esempio di applicazione di un CMS secondo ISO 19600:2014
Alla ZHAW School of Engineering di Win-terthur, una tesi di Master in gestione integrata dei rischi (MAS IRM) ha studiato la struttura, lo sviluppo, l'implementazione, la valutazione, il mantenimento e il miglioramento di un CMS secondo ISO 19600:2014 utilizzando l'esempio di un'azienda internazionale con meno di 20 dipendenti.

Il sistema di gestione dell'azienda era già basato sulla ISO 9001:2015, quindi la struttura delle norme (High Level Structure) era uniforme e l'integrazione della nuova norma ISO nel sistema di gestione integrato (IMS) era semplificata.

Approccio all'implementazione della ISO 19600:2014
La ISO 19600:2014 è composta da 7 elementi principali ed è fondamentalmente strutturata in due fasi principali, il setup e il funzionamento del CMS. È importante notare che tutti gli elementi della ISO 19600:2014 devono essere implementati in modo coerente al fine di creare un CMS efficace ed efficiente. Il CMS dovrebbe anche basarsi sui principi di una buona e responsabile corporate governance (ad esempio, che le decisioni di gestione siano orientate alla creazione di valore sostenibile, che sia promossa una comunicazione aziendale trasparente e aperta, che gli interessi delle parti interessate siano salvaguardati, che i rischi siano trattati in modo appropriato, ecc.)

Il sito Fase di costruzione contiene principalmente l'elemento "contesto dell'organizzazione", in cui si determina l'orientamento strategico del CMS. Sono stati definiti chiari obiettivi di conformità e allineati con gli altri obiettivi dell'azienda. Anche la portata del CMS è stata determinata e documentata. Dopo di che, il quadro organizzativo potrebbe essere definito. A questo scopo, sono stati determinati gli importanti fattori di influenza interni ed esterni che hanno un impatto sulle prestazioni del CMS. L'ambiente esterno è stato analizzato per mezzo di un'analisi ambientale sistematica. Sono state prese in considerazione anche le esigenze delle parti interessate interne o esterne (persone o organizzazioni), che potrebbero essere accertate attraverso un'analisi delle parti interessate. La strategia e la politica di conformità sono state definite anche sulla base delle informazioni ottenute nella fase di sviluppo.

Su Transizione tra la fase di spiegamento e quella operativa sono state stabilite procedure per identificare sistematicamente tutti gli impegni legali e volontari vincolanti e per esaminare il loro impatto con le attività, i prodotti e i servizi dell'azienda. Questo ha permesso di identificare i rischi derivanti da una violazione degli obblighi vincolanti. Poiché ISO 19600:2014 è uno standard basato sul rischio, la valutazione e la gestione del rischio hanno ricevuto un'attenzione speciale.

Come la struttura comune delle norme ISO, l'approccio basato sul rischio è diventato un'interfaccia globale e centrale nel mondo ISO. In un sistema di gestione integrato in cui si devono valutare i rischi di diverse aree, ha quindi senso applicare un approccio sistematico secondo la ISO 31000:2009 Risk Management. In questo modo, i rischi rilevanti per la conformità potrebbero essere identificati, analizzati, valutati e gestiti in modo ottimale.

Nel Fase operativa si occupa di stabilire, sviluppare, implementare, valutare, mantenere e migliorare un CMS efficace ed efficiente. Con l'aiuto del ciclo di gestione PDCA (Plan-Do-Check-Act), i processi di conformità sono continuamente migliorati. In primo luogo, il CMS è stato pianificato strategicamente nell'elemento "Pianificazione" per garantire che gli obiettivi del CMS siano raggiunti e che gli effetti non pianificati siano prevenuti, rilevati o ridotti. A tal fine, sono stati definiti concetti, misure e azioni per affrontare i rischi di conformità identificati nella fase di impostazione. Sono stati inoltre definiti obiettivi di conformità chiari, misurabili e verificabili per le funzioni e le aree pertinenti. Questi sono stati derivati dalla politica di conformità, tra le altre cose.

Per mezzo dell'elemento "leadership e impegno", è stato possibile mostrare come gli organi di gestione possono influenzare significativamente il significato e le prestazioni del CMS con le loro azioni: ISO 19600:2014 sottolinea l'importanza centrale di una buona leadership e di una cultura basata sui valori per l'efficacia di un CMS. Questo riflette i risultati empirici secondo i quali una cultura dell'etica e della conformità non può svilupparsi senza l'esempio del top management ("tone at the top"), senza valori e buona governance, e - anche se un codice di condotta e un "programma di conformità" sono in atto - una gestione efficace della conformità non è possibile.

La stessa struttura di gestione del sistema di gestione esistente potrebbe essere usata per le responsabilità e gli obblighi di conformità. Una struttura indipendente avrebbe superato le capacità dell'azienda e avrebbe occupato la direzione e i dipendenti con compiti amministrativi invece di dedicare risorse al CMS. Tuttavia, è stata fatta attenzione a garantire che la funzione di conformità sia indipendente e abbia sufficiente autorità e accesso diretto all'organo di vigilanza (principi di buona governance).

Nell'elemento "Supporto", sono state identificate le risorse interne ed esterne necessarie per un CMS efficace, in modo che possano essere rese disponibili e utilizzate efficacemente dall'azienda. Anche la formazione, l'istruzione e lo sviluppo sono stati pianificati per assicurare che i dipendenti abbiano le competenze necessarie e possano dare il contributo richiesto loro dallo standard per un CMS efficace. È stato anche sviluppato un concetto di comunicazione per assicurare una comunicazione attiva di conformità interna ed esterna. In seguito, i processi, le linee guida, le procedure e le loro misure di controllo e guida, che sono necessarie per l'adempimento del CMS, potrebbero essere implementate nell'elemento "Operazione". Sono stati presi in considerazione anche processi esterni e terze parti.

Al fine di garantire l'efficacia del CMS, nell'elemento "valutazione delle prestazioni" sono state stabilite procedure per monitorare, analizzare e valutare regolarmente il CMS stesso e le sue prestazioni. A tal fine, sono stati identificati degli indicatori misurabili per quantificare la performance di conformità dell'azienda. Questi erano l'efficienza della formazione, le misure correttive valutate (indicatori di attività), il numero di violazioni di conformità segnalate, l'impatto finanziario delle violazioni di conformità (indicatori retrospettivi), l'impatto dei rischi di conformità (indicatore prospettico).

Un sistema di reporting è stato anche fornito per informare la direzione sull'efficacia e l'adeguatezza del CMS. I risultati del monitoraggio in corso potrebbero essere incorporati nei rapporti già disponibili in azienda. Per gli eventi che devono essere segnalati tempestivamente, come le violazioni di conformità, è stato istituito un sistema di segnalazione delle eccezioni in modo che queste possano essere segnalate ai dipartimenti, alle funzioni e alle autorità necessarie.

Per migliorare il CMS e scoprire i punti deboli, l'elemento "Miglioramento". la gestione delle violazioni di conformità da parte dell'azienda. In questo modo, le misure per eliminare le cause dovrebbero essere identificate e si dovrebbe prevenire, per quanto possibile, una recidiva. Sanzionare i dipendenti a tutti i livelli in caso di violazioni di conformità deliberate o negligenti è un elemento centrale di un CMS funzionante. Molte aziende evitano di chiedere responsabilità e di imporre sanzioni. Senza una cultura della responsabilità e delle sanzioni, tuttavia, la richiesta di rispetto dei valori e di rispetto degli impegni vincolanti rimane una lettera vuota ("conformità cartacea"). Il diagramma mostra come il ciclo di gestione PDCA è mappato nella norma.

ISO 19600:2014 è adatto anche alle PMI
Le indagini della suddetta tesi di master hanno portato alla conclusione che un CMS secondo ISO 19600:2014 si adatta in modo ottimale anche per una PMI con meno di 20 dipendenti e crea i presupposti per soddisfare i requisiti attuali e futuri di un CMS efficace secondo le regole dell'arte (lege artis).

• Un'integrazione del CMS secondo ISO 19600:2014 nei sistemi di gestione esistenti secondo ISO è semplice e pratica grazie alla struttura uniforme di tutti i sistemi di gestione ISO, i termini definiti in modo uniforme e le efficienze dovute alla conoscenza di base esistente della gestione dei cicli di gestione PDCA e l'audit più semplice da parte di revisori interni ed esterni. Il risultato è uno strumento di gestione forte e un sistema di gestione più efficiente, poiché vengono considerati più aspetti e il sistema di gestione è più allineato con gli obiettivi generali dell'azienda. In questo modo, i processi aziendali possono essere progettati, diretti e controllati in modo più efficiente ed efficace. Questo ha un effetto positivo sulla gestione dei rischi e quindi sul successo dell'azienda, come ogni buona gestione professionale.
• Quando si integra il CMS, è fondamentale analizzare e mantenere proattivamente le interfacce con gli altri sistemi di gestione dell'organizzazione: gestione della qualità (ISO 9001:2015), gestione dei rischi (ISO 31000:2009), gestione ambientale (ISO 14001:2015), gestione della sicurezza delle informazioni (ISO 27001: 2013), gestione della salute e sicurezza sul lavoro (ISO 45001:2016) e gestione della continuità operativa (BCM, ISO 22301: 2010). Solo se si affronta questa sfida si può creare un sistema di gestione integrata (IMS) efficace ed efficiente che porti il massimo beneficio all'organizzazione.
• Gli elementi della ISO 19600:2014 seguono il ben noto ciclo di gestione PDCA. In questa sequenza logica, il CMS può essere implementato e migliorato in modo metodico ed efficace. Questo porta a una soluzione di conformità sostenibile ed efficace.
• I rischi di conformità o le attività che possono portare al mancato rispetto degli obblighi di conformità possono essere identificati, analizzati, valutati e gestiti in modo ottimale attraverso l'interazione con ISO 31000:2009 (approccio basato sul rischio secondo ISO 31000:2009).
• In caso di violazioni delle regole, un'azienda può dimostrare che non c'è colpevolezza organizzativa (diritto penale societario, articolo 102 del codice penale) e quindi anche proteggere la direzione dai rischi di responsabilità e scagionarla in caso di una violazione individuale. Inoltre, un CMS efficace promuove anche la fiducia delle parti interessate, specialmente dei dipendenti e dei clienti.