Come promesso al termine del precedente articolo, relativo al decreto legislativo 231/01 ed ai modelli organizzativi, in questa occasione ci soffermeremo con maggiore attenzione sull’integrabilità MOG (Modello Organizzativo) previsto dalla normativa con lo standard ISO 37301:2021, chiarendo quali risultati pratici si possono raggiungere attraverso l’adozione di un modello organizzativo “certificato”, stando attenti ad evitare, però, equivoci sull’estensione di questa dicitura.
Lo scopo che vogliamo raggiungere con la presente trattazione, è dunque quello di chiarire cosa sia la 37301:2021 ed anche cosa non sia, in modo da supportare le organizzazioni verso una scelta consapevole degli strumenti di compliance da adottare e fornire nello stesso tempo un know-how sufficiente a diradare delle scorrettezze che circolano all’interno del mercato.
Un passo indietro necessario: modelli volontari e vincoli legislativi
Abbiamo già ripetuto più volte che l’adozione di un modello organizzativo 231 è una scelta volontaria e che, per questo, è per certi versi sovrapponibile ai sistemi di gestione, strumenti di compliance a requisiti che l’organizzazione ha deciso di rispettare.
Questa natura facoltativa, però, ha generato in molti un equivoco che deve essere immediatamente chiarito.
Facciamo però attenzione: se è vero che il modello organizzativo descritto nel decreto legislativo 231/01 non è obbligatorio, è altrettanto vero che i confini della responsabilità amministrativa degli enti, stabiliti dalla legge, sono un vincolo cui nessuna organizzazione può sottrarsi.
Il mancato rispetto di quanto previsto dalla norma costituisce un reato per il quale l’ente risponde di fronte alla legge! Troppo spesso, nel corso degli anni, sono stati incontrati amministratori di società che non avevano chiara questa importante realtà.
Nel corso del precedente articolo abbiamo ricordato che, ai sensi dell’art. 6 del D.Lgs. 231/01:
“Se il reato è stato commesso dalle persone indicate nell’articolo 5, comma 1, lettera a), l’ente non risponde se prova che: l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.”
Proprio in base a questo principio di valore esimente del modello organizzativo, si era dunque indicata raccomandabile l’adozione di un MOG e, per lo stesso motivo, si è sconsigliato l’acquisto di un modello organizzativo “precompilato” o “standard” per evitare che non riuscisse a calarsi nella realtà dell’organizzazione, risultando per questo del tutto inutile ai fini dell’esonero dalle responsabilità per gli amministratori dell’ente.
Fatta questa premessa, possiamo dunque tornare alla ISO 37301:2021.
ISO 37301: Strumento volontario di certificazione della compliance
Nell’introduzione alla norma e nel suo capitolo 1, leggiamo: “Un sistema di gestione per la compliance efficace, esteso a tutta l’organizzazione, permette di dimostrare il proprio impegno a conformarsi a leggi, requisiti regolamentari, codici di settore e specifiche organizzative… Il presente documento specifica i requisiti e fornisce linee guida per istituire, sviluppare, ATTUARE, mantenere e migliorare un efficace sistema di gestione per la compliance all’interno di un’organizzazione.”
Certificare la propria organizzazione ISO 37301:2021, significa dunque certificare che sono state messe in campo procedure, registrazioni ed istruzioni operative efficaci per la compliance ai requisiti normativi previsti per l’organizzazione.
La norma ci chiede, nel capitolo 4, di stabilire il campo di applicazione e per quali obblighi di compliance sia strutturato il sistema di gestione per il quale si intende certificarsi.
Diventa perciò subito chiaro che, nel caso in cui l’azienda decidesse di intraprendere il percorso di certificazione per la compliance nei confronti del D.Lgs. 231/01, sarebbe proprio a quanto previsto da questa legge che bisognerebbe conformarsi!
Ecco dunque che, per certi versi, il sistema di gestione per la compliance D.Lgs. 231/01, ai fini della certificazione ISO 37301:2021, sarebbe sovrapponibile al Modello organizzativo (MOG) perché l’unico modo efficace di strutturare la propria organizzazione è proprio quello che segue le linee guida dettate dal decreto. Il processo di certificazione ISO 37031:2021 si baserebbe perciò proprio sulla ricerca di evidenze relative a questo indirizzo normativo!
La ISO 37301:2021, dunque, certifica il modello organizzativo?
Bisogna stare molto attenti nel rispondere a questa domanda.
Troppo spesso viene fornita anche da professionisti del settore una risposta positiva priva delle sufficienti argomentazioni. Questa risposta potrebbe indurre in errore le organizzazioni ed è quello che si deve evitare!
Per rispondere alla domanda, dobbiamo fare una piccola deviazione e leggere quanto disposto dalla norma ISO 19011:2018, nello stabilire gli scopi di un audit, al paragrafo 5.5.2 comma b, ci dice che uno degli obiettivi è “la valutazione della capacità del sistema di gestione di supportare l’organizzazione nel soddisfare i requisiti legislativi e regolamentari che l’organizzazione si è impegnata a soddisfare.”
La risposta corretta è questa:
La certificazione ISO 37301:2021, in relazione agli obblighi di compliance determinati dal D.Lgs. 231/01, permette di dimostrare che il modello organizzativo adottato dall’organizzazione non è soltanto un insieme astratto di procedure ed istruzioni operative, ma che è uno strumento efficace e completamente declinato all’interno delle attività di ogni giorno
ed è dunque una prova della sua solidità e pertinenza.
Perché dovrei ottenere una certificazione UNI EN ISO 37301:2021?
In virtù di tutto quanto trattato in questo e nel precedente articolo, il motivo è presto detto.
Dopo aver predisposto un modello organizzativo su misura per la realtà dell’organizzazione, affidandosi a professionisti adeguatamente preparati, è cruciale supportare i professionisti e l’ODV nominato, con l’attività di un organismo terzo di certificazione che, attraverso un audit svolto a campione all’interno della realtà dell’organizzazione e, toccando con mano i singoli processi, possa aiutarvi a dimostrare che il modello organizzativo ed il sistema di gestione non sono soltanto su carta, ma vivono nella realtà quotidiana della vostra azienda!
Concludendo, dunque, è vero che per ora non sono molti i bandi di gara che richiedono obbligatoriamente questa certificazione, ma cominciano ad essere pubblicate gare che recepiscono i requisiti di cui all’Allegato II.13 del nuovo codice degli appalti (D.Lgs. 36/2023), per il quale la certificazione ISO 37301:2021 permette di ridurre l’importo della fidejussione di garanzia.
Oltre a tutto questo, la certificazione può aiutare tutte le organizzazioni, soprattutto quelle più strutturate e complesse, ad affrontare la sfida di rendere la compliance un obiettivo non solo dell’alta direzione, ma di ogni singolo addetto.