ISO 37301 - Compliance management systems

Le organizzazioni oggi sono vincolate a diversi obblighi di conformità, i quali possono essere obbligatori, quali il rispetto di norme cogenti (es. D.Lgs. 81/2008, GDPR), o volontarie. Quest'ultime divengono spesso di fatto semi obbligatorie, poichè necessarie per dimostrare al mercato, a clienti rilevanti o altre parti interessate la propria attitudine.

Sempre più frequentemente la P.A. richiede ai suoi fornitori di servizi tecnologici la certificazione alla ISO/IEC 27001. Sovente la conformità in materia ambientale è necessaria se si è una Multiutility o se si è un'organizzazione con una pesante impronta ambientale. La Qualita è oggigiorno considerata un requisito minimo per qualsiasi organizzazione. 

L'internalizzzione e la sempre più marcata digitalizzazione inoltre costringono le organizzazione a conformarsi a policy, best practices, codici di settori, circolari provenienti dall'interno dell'organizzazione o dall'esterno di essa. Si pensi a settori quali credito, finanziario, assicurativo, oppure a organizzazioni complesse controllate da mulrinazionali estere.

A lungo termine di conformità si può soffocare.

La ISO 37301 non è un'altra norma da doversi applicare, è il facilitatore che ti renderà semplice e smart la gestione normativa.

ISO 37301:2021

Il Sistema di gestione della conformità

Il sistema di gestione della conformità riflette i valori, gli obiettivi, la strategia e i rischi di conformità dell'organizzazione, tenendo conto del suo contesto.

Ogni organizzazione è diversa e soggetta a peculiari necessità. Gli obblighi di conformità sono mutevoli (nuove disposizioni e nuovi obblighi) e vanno identificati per garantire la conformità continua dell'organizzazione.

Le modifiche non si esauriscono in meri adempimenti documentali ma hanno ricadute operative con un impatto da individuare e adempiemnti da rimodulare.

Il principio "Risk thinking based", presente in numerosi standards o leggi, sovente si ritrova applicato nelle organizzazioni con plurime analisi dei rischi, talvolta in contrasto fra loro.

Con la 37301 l'organizzazione identifica, analizza e valuta i propri rischi di conformità sulla base di una valutazione del rischio di conformità.

37301 - le Novità

Il nuovo standard pur rimanendo ancorato allo schema HLS, ha delle sue specifiche peculiarità, che lo differenziano da tutti gli altri.

Il Compliance Management System infatti si candida a divenire lo standard di raccordo ed integrazione, per tutte le grandi organizzazioni, "pluri certificate".

Alcune novità dello standard ISO 37301 sono i punti:

  • 4.5 Compliance Obligations: L'organizzazione deve identificare sistematicamente i propri obblighi di conformità, identificando i nuovi obblighi di conformità e valutandone l'impatto sui propri processi e adempimenti.
  • 4.6 Compliance Risk Assessment: Si introduce una nuova Analisi del Rischio, che non misuri i rischi dell'organizzazione, già gestiti attraverso gli altri standard, ma che si occupi nello specifico di valutare periodicamente i rischi di eventuali non conformità.
  • 5 Leadership: Rispetto ad altre norme, che mettono in capo all'Alta Direzione, Top Management nella versione inglese, le incombenze di leadership e impegno, la ISO 37301 introduce l'Organo Direttivo o Governing Body.

Il Governing Body è la persona o un gruppo di persone che ha la responsabilità ultima e l'autorità per le attività, la governance e le politiche di un'organizzazione e a cui riferisce l'alta direzione e dalla quale l'alta direzione è ritenuta responsabile. Fra i suoi compiti vi è la supervisione del Top Management, assicurandosi che sia misurato rispetto al raggiungimento degli obiettivi di compliance e al funzionamento del Sistema di Gestione della Conformità.

5.3.2 Compliance Funcion, introduce una specifica Funzione di Conformità, che sia responsabile di facilitare l'individuazione degli obblighi di conformità; documentare la valutazione del rischio di conformità, monitorare e misurare le prestazioni in tema di Compliance Management System.

5.3.3 Management e 5.3.4 Personnel introducono specifici adempimenti e attività per le funzione organizzative con compiti di resposnabilità e in generale per il personale tutto, invitandoli a adottare comportamenti proattivi per permettere ai sistemi di divenire realmente integrati.

  • 7 Support: I punti 7.2.2 Employment process e 7.2.3 Training stressano particolarmente il concetto di verifica prelimianre e poi di costante sensibilizzazione del personale verso gli obblighi di compliance dell'organizzazione.
  • 7.4 Comunication viene approfondito rispetto ad altri standard toccando eleemnti solitamente ineslorati quali la richiesta di considerare gli aspetti della diversità e le potenziali barriere a livello comunicativo, garantire che le opinioni delle parti interessate siano prese in considerazione, veicolare la propria cultura della conformità e altro ancora.
  • 8 Operations: Il Punto 8.2  Establishing controls and procedures prevede l'implementazione di controlli e periodici riesami di verifica degli obblighi di conformità. I Punti 8.3 Raising concerns (Segnalazione di dubbi) e 8.4 Investigation processo prevedono che si instauri un processo per incoraggiare le segnalazioni, accertarle, investigarle e proteggere il segnalante.
  • 9 Performance: I punti 9.1.2 Sources of feedback on compliance performance, 9.1.3 Development of indicators e 9.1.4 Record-keeping prevedono lo sviluppo di processi atti alla raccolta di feed back e indicatori sulle proprie prestazioni di conformità.

Non sei certo se la 37301 faccia al tuo caso?

Scrivici a info@grcteam.it indicando le norme cogenti o facoltative implementate nella tua organizzazione, un nostro analista competente per tali sistemi, ti risponderà. 

PS: siamo esperti anche di GDPR. La tua mail sarà utilizzata solo ed esclusivamente per rispondere al tuo quesito.

 

La nostra Filosofia
Il nostro gruppo
Cosa facciamo
Il metodo GRC