La ISO 37301 è la norma che certifica un sistema di gestione della compliance: il modo in cui un'organizzazione tiene insieme tutte le regole che deve rispettare e si organizza per non violarle. Non parla di un settore preciso come la qualità o l'ambiente, ma di un metodo trasversale per gestire gli obblighi di conformità, che siano leggi, regolamenti, autorizzazioni, contratti con i clienti o codici di condotta interni. È pensata per le organizzazioni che hanno molte regole da rispettare e il rischio concreto di perderne il filo.

L'edizione in vigore è la ISO 37301:2021. La differenza più importante rispetto al passato è che è certificabile: la norma che la precedeva, la ISO 19600:2014, era solo una linea guida, utile come riferimento ma non verificabile da un organismo terzo. Con la 37301 la compliance esce dal cassetto delle buone intenzioni e diventa qualcosa che si può dimostrare con un certificato accreditato.

Cosa chiede davvero la norma

Il punto di partenza è l'elenco degli obblighi: la norma chiede di individuare in modo sistematico tutte le regole che riguardano l'organizzazione e di tenerle aggiornate, perché le leggi cambiano e un registro vecchio è peggio di nessun registro. Su questa base si valutano i rischi di non conformità, cioè dove è più probabile e più grave sbagliare, e si predispongono i controlli per prevenirli.

La 37301 insiste molto su due cose che fanno la differenza tra una compliance vera e una di facciata: la cultura e la leadership. Chiede una direzione che dia l'esempio e una funzione compliance con autonomia e accesso al vertice, oltre a canali di segnalazione (whistleblowing) protetti. Senza questi presidi, le procedure restano carta.

Come ci si certifica, passo dopo passo

  1. Gap analysis: si misura la distanza tra come gestisci oggi le regole e quello che la norma chiede. Spesso emerge che la compliance esiste, ma sparpagliata tra uffici che non si parlano.
  2. Registro degli obblighi e analisi dei rischi: si costruisce l'elenco degli obblighi applicabili e si valutano i rischi di non conformità, dai più gravi ai più probabili.
  3. Costruzione del sistema: si definiscono ruoli della funzione compliance, controlli, formazione, canali di segnalazione e modalità di gestione delle violazioni.
  4. Audit interno e riesame della direzione: un controllo in casa che anticipa quello esterno, seguito dalla riunione in cui la direzione tira le somme.
  5. Verifica in due fasi: un organismo di certificazione accreditato conduce lo Stage 1 documentale e lo Stage 2 sul campo, dove verifica che il sistema funzioni davvero.

Superata la verifica, il certificato dura tre anni, con sorveglianze annuali e un rinnovo al termine del triennio. Vale qui come per le altre norme: solo un organismo accreditato rilascia un certificato realmente riconosciuto.

Il legame con il Modello 231

In Italia la ISO 37301 ha un aggancio che la rende particolarmente interessante: il Modello di organizzazione, gestione e controllo previsto dal D.Lgs 231/2001, che disciplina la responsabilità amministrativa delle imprese per i reati commessi nel loro interesse. Il Modello 231 e il sistema di gestione della compliance condividono la stessa logica, cioè prevenire violazioni con controlli, formazione e vigilanza. Costruire la compliance secondo la ISO 37301 dà al Modello 231 un'impalcatura riconosciuta a livello internazionale e verificata da un terzo, anche se la certificazione non sostituisce né rende automaticamente idoneo il Modello agli occhi di un giudice: sono due strumenti che si rafforzano, non lo stesso documento.

I vantaggi concreti, oltre al bollino

Il valore principale è il controllo: in un'organizzazione che cresce, le regole da rispettare si moltiplicano e finiscono per stare nella testa di poche persone. La 37301 le mette nero su bianco in un unico sistema, così quando una persona cambia ruolo non se ne va anche la memoria di cosa era obbligatorio. Sul piano esterno, una compliance certificata è un segnale di affidabilità verso clienti, banche, partner e pubblica amministrazione, e in alcuni contesti riduce il rischio reputazionale e contrattuale.

Un solo sistema, più certificazioni

La ISO 37301:2021 condivide la struttura di alto livello (Annex SL) con le altre norme di sistema e si integra in modo naturale con la ISO 37001 (prevenzione della corruzione), che è di fatto una compliance specializzata su un rischio specifico, e con la ISO 9001 (qualità). Tenere queste norme su un'unica impalcatura permette un audit integrato: meno giornate di verifica e una sola logica di gestione invece di sistemi paralleli che si ignorano.

Domande frequenti

È obbligatoria? No, la certificazione ISO 37301:2021 è volontaria. Diventa interessante quando un'organizzazione ha molti obblighi da gestire o vuole dare solidità riconosciuta al proprio sistema di controllo, Modello 231 compreso.

Sostituisce il Modello 231? No. Sono strumenti distinti che si rafforzano a vicenda: la 37301 offre un metodo certificabile, il Modello 231 risponde a un preciso obbligo del diritto italiano.

Quanto dura il certificato? Tre anni, con sorveglianze annuali e rinnovo al termine del ciclo.

Che differenza c'è con la vecchia ISO 19600? La ISO 19600 era una linea guida non certificabile; la ISO 37301 è una norma certificabile da un organismo accreditato.

Prima di muoverti conviene capire a che punto sei davvero. La checklist di autovalutazione ISO 37301 qui sotto ripercorre i requisiti punto per punto, dal registro degli obblighi ai canali di segnalazione: spunti ciò che hai già e vedi nero su bianco cosa manca prima di chiamare un organismo.