Semplifica Magazine



9 Aprile 2022

LA ISO 37301 E’ DAVVERO NECESSARIA?

(il metodo Lean Six Sigma fulcro dei sistemi di gestione della compliance ISO 37301)

Sembra una provocazione ma rappresenta il quesito che tutte le Organizzazioni strutturate e non si pongono sull’utilità dell’ennesima norma certificabile e riferita ai sistemi di gestione della compliance. Preliminarmente si può affermare che la compliance riveste di sicuro uno tra i megatrend più appetibili del momento assieme a tanti altri come cybersecurity, intelligenza artificiale e società benefit. Il TEAM di Omniapart sull’onda di tali megatrend ha perfezionato una metodologia che rende operativi, ad ogni livello, processi di compliance di assoluto pregio ormai necessari per le organizzazioni assistite che intendono affermarsi nei mercati più disparati. ISO 37301 non è solo una norma certificabile ma costituisce la norma primaria a cui tutte le Organizzazioni, più o meno strutturate, possono fare riferimento sia per la migrazione del proprio status organizzativo verso una struttura manageriale che per il miglioramento dei presidi esistenti, da integrare o istituire. Le reali potenzialità di questo nuovo schema di certificazione risiedono in una serie di peculiarità e tra tutte quella relativa ai sistemi di controllo ed al test a cui gli stessi andranno sottoposti. Il riferimento va al paragrafo 8.2 della norma, dal quale è possibile rilevare come l’attuazione dei controlli per gestire gli obblighi di conformità ed i rischi associati, richiedono un’attenta progettazione e vanno sottoposti a verifiche periodiche per assicurare la loro efficacia senza soluzione di continuità. Tali verifiche sui controlli progettati soccorrono all’esigenza di comprendere, in primis se il controllo fa ciò a cui è destinato ma soprattutto se lo stesso possa o meno essere aggirato minandone l’efficacia. Questa particolare attività impone all’organizzazione di dotarsi di strumenti che non sono quelli comunemente applicati ai sistemi di gestione richiedendo competenze che valutino le ipotesi che possano dare luogo alla loro vulnerabilità. Ma andiamo per ordine, anzitutto occorre comprendere la periodicità da associare alle verifiche da condurre sul controllo progettato che non può prescindere, com’è noto, dall’esito dell’analisi dei rischi a base dell’implementazione dello schema ISO 37301. Tale periodicità deve essere ricondotta alla duplice valutazione sia del livello di rischio associato al processo destinatario del controllo, sia della vulnerabilità di tale processo, deducendo all’estremo, l’attuazione di tecniche che sono tipiche di una progettazione con metodologia Lean Six Sigma. Ne discende che, i modelli di compliance possono risentire, quantomeno per l’attuazione dei controlli, della contaminazione di metodologie oltremodo sofisticate (Lean Six Sigma) anche con riferimento alla successiva verifica periodica dei controlli.  Quanto poi alla vulnerabilità del processo, l’attuazione dei controlli deve necessariamente considerare i casi di elusione sviluppando la capacità di intercettare tali anomalie. Ciò conferma come la metodologia Lean Six Sigma può fare la differenza in quanto il controllo in questione potrà beneficiare di tutte le tecniche statistiche disponibili sia per la definizione di indicatori dinamici che seguono l’attuazione efficace del controllo sia per  la progettazione dei KPI’s operativi della loro inefficacia o vulnerabilità.

L’approccio sin qui descritto può trovare pratica attuazione anche a tutti gli altri requisiti dello schema ISO 37301, specie con riferimento alla sicurezza delle informazioni serventi al funzionamento e l’efficace attuazione del sistema di gestione (ergo : Reporting relativo alla compliance unitamente ai meccanismi di accountability). In pratica la ISO 37301 a differenza dei modelli di compliance self made favorisce l’intercettazione sia di comportamenti non in linea con il rispetto degli obblighi (legislativi e volontari) sia l’intercettazione le situazioni che indeboliscono i processi e la loro tenuta per via dei cosiddetti cambiamenti “involontari”. Le tecniche con cui tutto questo viene progettato fanno la differenza.

Pertanto le Organizzazioni che intraprendono l’implementazione della ISO 37301 non potranno prescindere dal dare impulso al processo virtuoso che estende i presidi ad ogni livello favorendo la partecipazione di tutti coloro che, interagendo con l’organizzazione possono eleggersi ad elemento di vulnerabilità. Il riferimento non va dunque solo al personale dipendente ma deve necessariamente estendersi a shareholders, stakeholders e soci in affari nessuno escluso. Ne discende che il processo di responsabilizzazione di ognuno dei precitati attori mediante una concreta rivoluzione culturale. Solo seguendo un processo di cultura diffusa, accettata ed approvata si può ritenere la ISO 37301 necessaria e strumentale alla regolamentazione di processi che favoriscano il decentramento dei poteri mediante la centralizzazione dei controlli adeguatamente testati in termini di efficacia.

Se tutto quanto precede trova la giusta collocazione all’interno della vostra organizzazione, ISO 37301 lungi dall’essere l’ennesimo schema di certificazione rappresenterà il punto di partenza per l’auspicata rivoluzione culturale che tutte le organizzazioni dovranno favorire per dare prova di affidabilità della tenuta del proprio ecosistema in un contesto economico globale.