La nuova UNI 11961:2024, pubblicata il 17 dicembre 2024, definisce le linee guida per mettere in relazione il sistema di gestione per la compliance UNI ISO 37301:2021 e i Modelli di Organizzazione, Gestione e Controllo conformi al D.Lgs n. 231/2001.
L’obiettivo è quello di agevolare gli Enti nello sviluppo di modelli efficaci sulla base dei principi e requisiti espressi dalle norme tecniche nazionali e internazionali UNI ISO.
In un contesto normativo sempre più complesso ed esigente, la UNI 11961:2024 rappresenta, difatti, un’opportunità strategica per costruire un modello di gestione della legalità solido, trasparente e diretto al potenziamento dei presìdi di governance.
Tuttavia, al fine di comprendere appieno l’importanza e l’utilità di questa nuova norma UNI 11961, risulta opportuno fare una breve panoramica sulle norme “UNI” e “ISO”.
Le norme UNI sono standard tecnici elaborati e pubblicati dall’Ente Italiano di Normazione (UNI) ovvero un’associazione privata senza scopo di lucro che elabora, pubblica e diffonde le norme tecniche volontarie. In particolare, svolge attività normativa in tutti i settori industriali, commerciali e del terziario, ad esclusione di quello elettrico ed elettrotecnico di competenza del CEI (Comitato Elettrotecnico Italiano).
Servono a definire requisiti tecnici, organizzativi o di sicurezza per prodotti, servizi, processi o figure professionali, nonché a promuovere qualità, sicurezza, sostenibilità e trasparenza nei rapporti economici e sociali.
Le norme ISO, invece, sono standard internazionali pubblicati dall’International Organization for Standardization (ISO), un ente indipendente con sede a Ginevra che riunisce gli organismi di normazione di oltre 160 Paesi.
Molte norme UNI derivano da norme ISO attraverso un processo di recepimento e adattamento. Si pensi, ad esempio, alla UNI ISO 37301, la versione italiana ufficiale della ISO 37301 (compliance management systems).
Premesso ciò, la nuova norma UNI 11961:2024, sviluppata esclusivamente in Italia, si configura come uno strumento di raccordo tra la normativa internazionale ISO 37301, relativa ai sistemi di gestione per la compliance, e il quadro normativo nazionale sulla responsabilità amministrativa degli enti (D.Lgs. 231/2001).
La nuova norma introduce un sistema integrato completo che mette in relazione i reati previsti dal cosiddetto “catalogo 231” con i requisiti della ISO 37301. Quest’ultima, attraverso un approccio sistemico, impone alle organizzazioni il rispetto di tutti gli obblighi di conformità legislativa a cui sono soggette, promuovendo una cultura della compliance strutturata e proattiva.
L’adozione di un sistema per la compliance integrata aziendale, in linea con la UNI 11961:2024, permette, per l’appunto, di combinare in modo efficace entrambi gli strumenti normativi, ottimizzando i processi interni e riducendo la duplicazione delle attività di controllo.
Inoltre, favorisce un maggiore coordinamento tra le funzioni aziendali coinvolte (come l’Organismo di Vigilanza, il Compliance Officer), rafforzando così l’efficienza del sistema di governance e la tracciabilità delle decisioni.
Dal punto di vista pratico, tale integrazione consente alle aziende di rafforzare la propria posizione difensiva in sede giudiziaria, contribuendo alla prevenzione dei reati e alla tutela dell’organizzazione stessa.
Un esempio pratico
Di seguito si propone un esempio pratico, riferito a un’azienda manifatturiera di medie dimensioni, attiva nella produzione di componenti meccanici, con circa 500 dipendenti.
L’azienda in questione dispone di un Modello di Organizzazione, Gestione e Controllo (MOG 231) conforme al D.Lgs. 231/2001 ed è dotata di un Organismo di Vigilanza (OdV).
È, inoltre, presente una funzione Compliance, sebbene le attività legate alla conformità risultino ancora distribuite tra diversi uffici, con una gestione frammentata dei presìdi e delle responsabilità.
Ed è proprio a seguito dell’introduzione della norma UNI 11961:2024 che l’azienda decide di compiere un “salto di qualità”, avviando un progetto di integrazione tra il Modello 231 e il sistema di gestione della compliance, così da uniformare i controlli, razionalizzare i processi e rispondere in modo più strutturato sia alla normativa italiana che agli standard internazionali.
Il primo passo del progetto consiste nella realizzazione di una gap analysis.
Dunque, da un lato, viene confrontato il contenuto del MOG 231 (orientato alla prevenzione dei reati e alla responsabilità amministrativa degli enti) e, dall’altro, il sistema di gestione della compliance, che ha l’obiettivo di garantire il rispetto delle normative applicabili in senso più ampio (ambientali, fiscali, di sicurezza, ecc.).
Dall’analisi emergono sia aree di sovrapposizione (ad esempio, i presìdi relativi al whistleblowing, alla gestione dei rischi e ai controlli interni), sia delle criticità quali, ad esempio, la mancanza di una visione unitaria e una scarsa integrazione tra funzioni.
Sulla base dei risultati, l’azienda avvia un percorso di revisione e riprogettazione del sistema di compliance in cui vengono coinvolte tutte le funzioni chiave: la Compliance, il Risk Management, l’Internal Audit e, naturalmente, l’OdV.
L’azienda aggiorna le proprie procedure aziendali al fine di garantirne l’aderenza sia al D.Lgs. 231/2001, che ai requisiti della norma ISO 37301. Successivamente vengono integrate le attività di valutazione del rischio compliance all’interno della mappatura dei rischi 231 e viene realizzato un cruscotto digitale per la gestione e il monitoraggio delle attività di controllo, accessibile anche all’OdV, che può così consultare le evidenze, i report e le segnalazioni.
Uno degli elementi centrali della UNI 11961 è la promozione della cultura della compliance, pertanto, l’azienda attiva un programma di formazione e sensibilizzazione, che prevede moduli formativi obbligatori per dirigenti, responsabili di funzione e personale a rischio, aggiornamento del Codice Etico, con contenuti più espliciti in materia di legalità, trasparenza e responsabilità, campagne interne dedicate ai valori etici e al comportamento professionale.
Nella fase finale del progetto, vengono introdotti strumenti per misurare e monitorare l’efficacia del sistema, tra i quali, KPI (Key Performance Indicators) specifici per la compliance integrata (es. numero di segnalazioni gestite, tempo medio di risposta, audit effettuati), un registro centralizzato delle non conformità, utile per individuare aree ricorrenti di rischio.
Viene, altresì, istituto un Comitato Compliance e 231, con funzioni di supervisione e reporting diretto al Consiglio di amministrazione.
Al termine di questo percorso, l’organizzazione non solo dimostra la conformità formale alla normativa nazionale, ma si dota anche di un sistema di gestione solido, trasparente e riconosciuto a livello internazionale; un sistema in grado di prevenire i rischi legali, rafforzare la governance e promuovere comportamenti etici in modo stabile e duraturo.
