Le organizzazioni oggi sono vincolate a diversi obblighi di conformità, i quali possono essere obbligatori, quali il rispetto di norme cogenti (es. D.Lgs. 81/2008, GDPR), o volontarie. Quest'ultime divengono spesso di fatto semi obbligatorie, poichè necessarie per dimostrare al mercato, a clienti rilevanti o altre parti interessate la propria attitudine.

Sempre più frequentemente la P.A. richiede ai suoi fornitori di servizi tecnologici la certificazione alla ISO/IEC 27001. Sovente la conformità in materia ambientale è necessaria se si è una Multiutility o se si è un'organizzazione con una pesante impronta ambientale. La Qualita è oggigiorno considerata un requisito minimo per qualsiasi organizzazione. 

L'internalizzazione e la sempre più marcata digitalizzazione inoltre costringono le organizzazione a conformarsi a policy, best practices, codici di settori, circolari provenienti dall'interno dell'organizzazione o dall'esterno di essa. Si pensi a settori quali credito, finanza, assicurativo, oppure a organizzazioni complesse controllate da mulrinazionali estere.

Molte organizzazione hanno più d'una di queste norme e molteplici adempimenti da espletare.

A lungo termine di conformità si può soffocare.

La ISO 37301 non è un'altra norma da doversi applicare, è il facilitatore che ti renderà semplice e smart la gestione normativa.

Il Sistema di gestione della conformità

Il Sistema di Gestione della Conformità riflette i valori, gli obiettivi, la strategia e i rischi di conformità dell'organizzazione, tenendo conto del suo contesto.

Ogni organizzazione è diversa e soggetta a peculiari necessità. Gli obblighi di conformità sono mutevoli (nuove disposizioni e nuovi obblighi) e vanno identificati per garantire la conformità continua dell'organizzazione.

Le modifiche non si esauriscono in meri adempimenti documentali ma hanno ricadute operative con un impatto da individuare e adempimenti da rimodulare.

Il principio "Risk thinking based", presente in numerosi standards o leggi, viene applicato nelle organizzazioni multinorma, ridondando le analisi ingenerando la consequenziali presenza di più Analisi dei Rischi, fatte da soggetti diversi, con metodologie di difformi e talvolta in contrasto fra loro.

Con la 37301 l'organizzazione identifica, analizza e valuta i propri rischi di conformità sulla base di una valutazione del rischio di conformità, ed integra i diversi sistemi di gestione.

Il nuovo standard pur rimanendo ancorato allo schema HLS, ha delle sue specifiche peculiarità, che lo differenziano da tutti gli altri.

Il Compliance Management System infatti si candida a divenire lo standard di raccordo ed integrazione, per tutte le grandi organizzazioni, "pluri certificate".

Alcune novità dello standard ISO 37301 sono i punti:

• 4.5 Compliance Obligations: L'organizzazione deve identificare sistematicamente i propri obblighi di conformità, riconoscendo i nuovi obblighi di conformità e valutandone l'impatto sui propri processi e adempimenti.

• 4.6 Compliance Risk Assessment: Si introduce una nuova Analisi del Rischio, che non misuri i rischi dell'organizzazione, già gestiti attraverso gli altri standard, ma che si occupi nello specifico di valutare periodicamente i rischi di eventuali non conformità.

• 5 Leadership: Rispetto ad altre norme, che mettono in capo all'Alta Direzione, Top Management nella versione inglese, le incombenze di leadership e impegno, la ISO 37301 introduce l'Organo Direttivo o Governing Body.

Il Governing Body è la persona o un gruppo di persone che ha la responsabilità ultima e l'autorità per le attività, la governance e le politiche di un'organizzazione e a cui riferisce l'alta direzione e dalla quale l'alta direzione è ritenuta responsabile. Fra i suoi compiti vi è la supervisione del Top Management, assicurandosi che sia misurato rispetto al raggiungimento degli obiettivi di compliance e al funzionamento del Sistema di Gestione della Conformità.

5.3.2 Compliance Funcion, introduce una specifica Funzione di Conformità, che sia responsabile di facilitare l'individuazione degli obblighi di conformità; documentare la valutazione del rischio di conformità, monitorare e misurare le prestazioni in tema di Compliance Management System.

5.3.3 Management e 5.3.4 Personnel introducono specifici adempimenti e attività per le funzione organizzative con compiti di resposnabilità e in generale per il personale tutto, invitandoli a adottare comportamenti proattivi, per permettere ai sistemi di divenire realmente integrati.

• 7 Support: I punti 7.2.2 Employment process e 7.2.3 Training stressano particolarmente il concetto di verifica preliminare e poi di costante sensibilizzazione del personale verso gli obblighi di compliance dell'organizzazione.

• 7.4 Comunication: viene approfondito rispetto ad altri standard, toccando elementi solitamente inesplorati quali la richiesta di considerare gli aspetti della diversità e le potenziali barriere a livello comunicativo, garantire che le opinioni delle parti interessate siano prese in considerazione, veicolare la propria cultura della conformità e altro ancora.

• 8 Operations: Il Punto 8.2  Establishing controls and procedures prevede l'implementazione di controlli e periodici riesami di verifica degli obblighi di conformità. I Punti 8.3 Raising concerns (Segnalazione di dubbi) e 8.4 Investigation process prevedono che si instauri un processo per incoraggiare le segnalazioni, accertarle, investigarle e proteggere il segnalante.

• 9 Performance: I punti 9.1.2 Sources of feedback on compliance performance, 9.1.3 Development of indicators e 9.1.4 Record-keeping prevedono lo sviluppo di processi atti alla raccolta di feed back e indicatori sulle proprie prestazioni di conformità.

Scrivici a info@grcteam.it indicando le norme cogenti o facoltative implementate nella tua organizzazione, un nostro analista competente per tali sistemi, ti risponderà. 

PS: siamo esperti anche di GDPR. La tua mail sarà utilizzata solo ed esclusivamente per rispondere al tuo quesito.