È stata pubblicata la norma ISO 37301 Compliance Management System, evoluzione della ISO 19600 ("Sistemi di gestione della conformità - Linee guida"). Si tratta di un passaggio molto atteso: se la ISO 19600 è una norma non certificabile, la ISO 37301 è un vero e proprio standard, sulla base del quale i modelli di Compliance potranno conseguire una certificazione rilasciata da un organismo di terza parte.
La norma ISO 37301 per la certificazione dei Sistemi di Gestione della Compliance
La Compliance è pertanto non solo la base, ma anche un'opportunità , per un'organizzazione di successo e sostenibile: la norma UNI ISO 37301:2021 fornisce le linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione.
Il termine deriva dall'inglese "To comply", letteralmente "adempiere". Nell'ambito del business si realizza quando l'azienda, l'ente o il professionista aderisce e rispetta delle regole, delle leggi o il codice deontologico
Partendo dal presupposto che "non è migliorabile ciò che non è misurabile" è possibile determinare le prestazioni aziendali della Compliance mediante degli indicatori che variano in funzione della maturità dell'organizzazione, delle tempistiche e gradi di novità e revisione dei programmi attuati. In linea generale, gli indicatori possono essere di tipo proattivo, reattivo, predittivo.
PROATTIVO | REATTIVO | PREDITTIVO |
- La percentuale dei collaboratori efficacemente formati;
- La frequenza dei contatti con le autorità di regolazione; - L'utilizzo di meccanismi di informazioni di ritorno (feedback, compresi commenti sul valore di tali meccanismi da parte degli utilizzatori). |
- Questioni e noncompliance identificate, riferite in base a tipo, area e frequenza;
- Le conseguenze della noncompliance, che possono comprendere una valutazione dell'impatto risultante della compensazione monetaria, multe e altre sanzioni, costi di risarcimento, reputazione o costo del lavoro; - L'ammontare di tempo speso per riferire e per intraprendere azioni correttive. |
- I rischi di noncompliance misurati come possibile perdita/guadagno in termini di obiettivi (ricavi, salute e sicurezza, reputazione, ecc) nel tempo;
- Andamenti (trend) relativi alla noncompliance (il tasso di compliance atteso sulla base degli andamenti passati). |
I vantaggi della norma ISO 37301
La norma UNI ISO 37301:2021 supporta le organizzazioni nello sviluppo e nella diffusione di una cultura positiva della Compliance, considerando che una gestione efficace e ben strutturata dei rischi correlati dovrebbe essere considerata come un'opportunità da perseguire e cogliere, alla luce dei numerosi benefici che essa porta all'organizzazioni quali:
- Incremento delle opportunità di business e di sostenibilità ;
- Protezione e accrescimento della reputazione e della credibilità dell'organizzazione;
- Considerazione delle aspettative delle parti interessate;
- Dimostrazione dell'impegno dell'organizzazione nel gestire i rischi in modo efficace ed efficiente;
- Aumento della fiducia di terze parti nella capacità dell'organizzazione di conseguire il successo durevole (sustained success);
- Minimizzazione dei rischi di violazione che comportano conseguenti costi e danni alla reputazione.
Valutazione e gestione dei rischi
«Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina).» (Gazzetta Ufficiale)
Il Compliance Risk è diffuso a tutti livelli dell'organizzazione aziendale, soprattutto nell'ambito delle linee operative. L'attività di prevenzione deve svolgersi in primo luogo dove il rischio viene generato: è pertanto necessaria un'adeguata responsabilizzazione di tutto il personale. In via generale, le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l'esercizio dell'attività di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore.
Un'efficace ed efficiente gestione del rischio di non conformità , oltre alla responsabilizzazione di tutti i dipendenti, richiede, tra l'altro:
- Una chiara e formalizzata individuazione e distinzione di ruoli e responsabilità ai diversi livelli dell'organizzazione della banca;
- L'istituzione di un'apposita funzione incaricata della gestione del rischio di non conformità ;
- La nomina di un responsabile della conformità all'interno della banca;
- La predisposizione di un documento interno che indichi responsabilità , compiti, modalità operative, flussi informativi, programmazione e risultati dell'attività svolta dalla funzione di conformità