ISO 37000 2021 Governance of Organizations

Le Linee Guida Internazionali per una buona Governance organizzativa: l’ISO 37000

03 November 2021

di Francesco Domenico ATTISANO

Il nuovo standard internazionale per le organizzazioni che intendono strutturare una governance efficace e allineata con il Modello delle 3 Linee dell’IIA

Nel mese di settembre, l’International Organization for Standardization(1) ha rilasciato e pubblicato l’ISO 37000 per la Governance delle organizzazioni(2).

La linea guida per la definizione e l’implementazione del sistema di governance si rivolge a tutti i tipi di organizzazioni(3) indipendentemente dalla forma, dalle dimensioni, dalla natura dell’attività, dal settore di riferimento o dalla localizzazione geografica.

La scelta delle entity(4) di strutturare il proprio sistema di governance secondo tale linea guida dimostrerà l’impegno dell’organizzazione di gestire il suo programma di governance in un modo professionale, conformandosi in maniera adeguata, e in linea generale, a tutti i requisiti legali e normativi di riferimento.

Essendo la ISO 37000:2021 una guida internazionale, le organizzazioni hanno l’opportunità di orientarsi e allinearsi a uno standard univoco e riconosciuto, rappresentando una best practice diffusa. La guidance, difatti, è progettata per essere abilitante per il miglioramento delle organizzazioni e complementare ai framework di sistema di controllo interno e gestione dei rischi esistenti.

Lo standard internazionale afferma che la governancepone le basi per la realizzazione dello scopo dell’organizzazione in modo etico, efficace e responsabile in linea con le aspettative degli stakeholder“. Per dirla brevemente, una buona governance consente all’organizzazione il raggiungimento, nel miglior modo possibile, dei suoi obiettivi, in linea con le norme culturali e sociali di riferimento.

Sulla stessa linea di pensiero l’ERM 2017(5) si aspetta che il board (ovvero il CdA) definisca, oltre ai suoi obiettivi di performance(6), la cultura e i comportamenti di un’organizzazione. Difatti, una robusta cultura(7) è un pilastro fondamentale di una buona governance organizzativa.

Posto ciò, la 37000:2021 Governance of organizations — Guidance illustra i principi e gli aspetti chiave per aiutare gli organi di governo ad attuare le proprie responsabilità, in modo che le organizzazioni possano:

  • raggiungere le loro finalità, in termini di compliance e performance;
  • agire in modo responsabile, trasparente e sostenibile.

In merito a quest’ultimo punto, a conferma del collegamento con il tema della sostenibilità, dal sito dell’ISO si legge che il nuovo standard contribuisce al perseguimento di tre obiettivi di sviluppo sostenibile (SDG) dell’Agenda 2030: l’8 (Lavoro dignitoso e crescita economica), l’11(Città e Comunità Sostenibili), il 16 (Pace, Giustizia e Istituzioni forti).

La linea guida(8), con i suoi undici principi di governance(9), ha, difatti, lo scopo di aiutare l’organismo di governo (il board o vertice aziendale) a gestire in maniera responsabile ed etica l’organizzazione, attraverso un sistema di controllo interno trasparente e un processo di assurance affidabile nei confronti di tutte le parti interessate (sia interne che esterne).

Grazie ai principi di buona governance, l’obiettivo della norma è, pertanto, allineare la cultura organizzativa (inclusa ovviamente il risk e control culture), le norme, le policy e le procedure gestionali e operative agli obiettivi strategici (e correlati obiettivi operativi).

Secondo l’ISO, l’applicazione della guida avrà effetti positivi su tutti i sistemi di gestione già presenti nell’organizzazione e con i modelli di responsabilità sociale. Ad esempio, nella ISO 37000 si fa riferimento esplicito alla ISO 37301 per la gestione dei sistemi di compliance aziendale(10), alla ISO 37002(11) per la gestione dei sistemi di Whistleblowing, alla ISO 26000 in tema di responsabilità sociale e sviluppo sostenibile; in ultimo, implicitamente c’è un collegamento alla ISO 37001, per la standardizzazione dei sistemi di gestione per la prevenzione e contrasto alla corruzione

La nuova ISO, in pratica, punta a creare un meccanismo in cui l’organo che detiene la responsabilità e l’autorità, assuma decisioni strategiche, analizzando e valutando fin da subito gli impatti sul sistema di compliance, di gestione dei rischi ed in generale di controllo interno dell’organizzazione.

A testimonianza di ciò, l’Institute of Internal Auditors (IIA) ha partecipato alla elaborazione dell’ISO 37000. Inoltre, nell’ultimo Global Knowledge Brief(12), l’IIA esamina come il Modello delle Tre Linee(13) si allinei strettamente con lo standard ISO 37000:2021 Governance of Organizations – Guidance(14). Difatti, il Modello delle Tre Linee(15) si allinea perfettamente alla Guida ISO, più dettagliata e orientata ai sistemi. Insieme, contribuiscono a indirizzare e guidare il processo di valutazione qualitativa della governance organizzativa. Sia il Modello delle 3 Linee(16) che la ISO 37000, prevedono, inoltre, un rafforzamento della governance guidata dall’alto, che passa, quindi, da una maggiore responsabilizzazione del board nel suo ruolo di supervisione (oversight) e nel rafforzamento del sistema di relazioni con le funzioni di controllo.

Ancora, la mission dell’Internal Auditing(17), “Proteggere ed accrescere il valore dell’organizzazione… “, è pienamente allineata con il pensiero della ISO 37000.
In definitiva, la ridefinizione del proprio sistema di governance secondo l’ISO 37000 potrebbe consentire alla singola organizzazione di:

  • Costruire ovvero rafforzare la fiducia, sia con il personale interno che con le parti interessate esterne, seguendo uno standard internazionale.
  • Incrementare la credibilità nei confronti delle istituzioni e del mercato (investitori), mettendo in risalto la volontà sostanziale dell’investimento nella gestione della propria governance, affinché sia efficace.
  • Potenziare il sistema di relazioni e flussi informativi, ampliando la sinergia tra le strutture di controllo, risk management con l’Internal Audit.
  • Migliorare le performance organizzative di lungo periodo, promuovendo l’integrità sociale e ambientale; contribuendo, pertanto, al raggiungimento degli obiettivi ESG, a beneficio di tutti gli stakeholder di riferimento.

In conclusione, si ritiene che:

  • la cosa fondamentale su cui è necessario investire è la consapevolezza(18) e la cultura dell’etica, del rischio e della sostenibilità, tramite iniziative di informazione e formazione;
  • la nuova ISO 37000:2021 è un’opportunità strategica, non solo come obiettivo in ottica di environmental e social, in quanto darà una spinta importante al dialogo e discussione sulla governance aziendale da parte del board;
  • la guidance possa fornire ulteriore impulso al cambiamento, verso un modello di Stakeholder Capitalism(19) condiviso da tutte le organizzazioni e sempre più promosso dalle istituzioni internazionali;
  • la funzione di Internal Audit, nel suo ruolo di terza linea, avrà un ruolo determinante per valutare l’adeguatezza e l’efficacia della governance(20) delle organizzazioni e la ISO potrà essere una buona guida per condurre i governance audit.

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   Cfr. ISO – International Organisation for Standardization  |  website

(2)   La guida è stata sviluppata dal comitato tecnico ISO ISO/TC 309, Governance delle organizzazioni, il cui segretariato è tenuto da BSI, l’organismo nazionale per gli standard ISO per il Regno Unito.

(3)   Quindi oltre alle aziende private e le amministrazioni pubbliche, anche ONG, enti di beneficenza, fondazioni, associazioni, partiti politici potranno avvalersi della nuova guidance.

(4)   Con il termine entity si cerca di ricomprendere tutte le tipologie di organizzazioni (a scopo di lucro, no profit, del settore pubblico) di qualsiasi dimensione.

(5)   COSO  |  Committee of Sponsoring Organizations of the Treadway Commission (2017),” Enterprise Risk Management – Integrating Strategy with Performance”;

(6)   Cfr. F.D. Attisano (2019), “Enterprise risk management: un profondo cambiamento nella gestione del rischio d’impresa”; www.riskcompliance.it

(7)   Cfr. F.D. Attisano (2020), “La corporate culture, fattore determinante del successo”; www.riskcompliance.it

(8)   Si tratta di una norma di tipo B e non di uno standard certificabile (norma di tipo A come, ad esempio, la ISO 37001:2016 e la ISO 37301:2021).

(9)   Gli undici principi di governance della ISO 37000 sono distinti in: a) principio di governance primario: Scopo; b) principi di governance fondamentali: Generazione di valore, Strategia, Supervisione (oversight), Accountability; c) principi di governance abilitanti: Coinvolgimento degli stakeholder, Leadership, Dati e decisioni, Governo del rischio (risk governance), Responsabilità sociale, Fattibilità e Performance nel tempo.

(10)   Cfr. F.D. Attisano (2020), “L’ISO 37301: per un sistema integrato di gestione della conformità”; www.riskcompliance.it

(11)   Cfr. F.D. Attisano (2021), “ISO 37002 per la gestione del whistleblowing”; www.riskcompliance.it

(12)   Cfr. ISO Guidance and The Three Lines Model – Global Knowledge Brief

(13)   Cfr. IIA, The Institute of Internal Auditors (2020) “The IAA’s Three Lines Model

(14)   Cfr. ISO Guidance and three lines model  |  Global Knowledge Brief

(15)   Cfr F.D. Attisano, R.Rosato (2019), “Ridefinire la Protezione”, Rivista Internal Audit. n.103 ottobre – dicembre 2019; www.aiiaweb.it

(16)   Cfr. F.D. Attisano (2020), “Il nuovo modello delle 3 linee di controllo, al centro la creazione di valore e l’interazione ”- Internal control framework; Risk & Compliance Platform Europe; www.riskcompliance.it

(17)   La Mission dell’Internal Auditing, inserita nell’International Professional Practices Framework (IPPF), ha l’obiettivo di rafforzare e supportare l’intero framework al fine di fornire una chiara e concisa descrizione di ciò che l’Internal Auditing aspira a conseguire all’interno delle organizzazioni. “Proteggere ed accrescere il valore dell’organizzazione, fornendo assurance obiettiva e risk based, consulenza e competenza

(18)   Cfr. F.D. Attisano (2020), “Tone from the top e risk awareness driver fondamentali della risk culture”; www.riskcompliance.it

(19)   Cfr. World Economic Forum. (2020), White paper “Integrated Corporate Governance: A Practical Guide to Stakeholder Capitalism for Boards of Directors

(20)   Cfr. Lo Standard 2110 – Governance dell’IA stabilisce che: L’attività di Internal audit deve valutare e fornire appropriati suggerimenti volti a migliorare il processo di governance dell’organizzazione con riferimento a: prendere decisioni di natura strategica e operativa; supervisionare i processi di gestione e controllo dei rischi; promuovere adeguati valori e principi etici nell’organizzazione; garantire l’efficace gestione dell’organizzazione e l’accountability; comunicare informazioni su rischi e controlli alle opportune funzioni dell’organizzazione; coordinare le attività e il processo di scambio di informazioni tra il board, i revisori esterni, gli internal auditor, gli altri prestatori di servizi di assurance e il management. Associazione Italiana Internal Auditors

Inoltre:

Cfr. ISO  –  TC309 | Governance of Organizations

Cfr. ISO  –  ISO 37000:2021 | Governance of Organizations  –  Guidance

Cfr. D. Tokar (2021) “International Standard Setter Wades Into Corporate-Governance Debate”; Wall Street Journal

Cfr. McKinsey (2018), “Culture: 4 keys to why it matters



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *