You are on page 1of 58

Compliance Management

System
Come utilizzare nel modo efficace le norme
ISO 31000, ISO/DIS 19600 e ISO 22301
Alessandro Celuzza
Vicenza, 2014-10-10

Alessandro Celuzza
▪ Ingegnere libero professionista, RSPP, Coordinatore Sicurezza
▪ Lead auditor registrato KHC, qualità Q103 e sicurezza S759
▪ Ispettore di prodotto per la marcatura CE dei prodotti da
costruzione
▪ Socio Uniquality
▪ Coordinatore nazionale della nuova sezione Unicompliance,
all’interno di Uniquality
▪ Partner italiano della rete professionale LCBS – Lean Compliance
Business Solutions

LCBS - Lean Compliance Business Solutions
LCBS è la sigla che identifica il team internazionale di professionisti
che ha definito il proprio modello di Lean Compliance Management
e realizza sistemi di gestione della compliance adeguati per ogni
genere di organizzazione, incluse le piccole e medie imprese.
LCBS ha anche realizzato il primo corso di formazione per
Auditor/Lead Auditor di sistemi di gestione della compliance, in
corso di certificazione con KHC.
Gli argomenti enunciati nel corso della presentazione sono oggetto di
pubblicazioni internazionali.

Argomenti principali della presentazione
Introduzione
Scopo della presentazione e fonti del modello proposto
Lean Compliance Management
Una sintesi innovativa delle norme ISO31000, ISO/DIS19600 e ISO22301
L’approccio quantitativo al compliance management
Un modello basato su fatti e numeri
Come mettere in pratica il modello di Lean Compliance Management
Suggerimenti per rendere operativo il sistema di gestione della
compliance

Introduzione
Scopo della presentazione e fonti del modello proposto

Introduzione – il quesito iniziale
Partiamo da un quesito:

È possibile definire una metodologia che consenta
un’organizzazione di perseguire e conciliare i seguenti obiettivi?

a

- Preservare il proprio orientamento al profitto
- Perseguire il rispetto di tutti gli obblighi ai quali è soggetta
- Rendere misurabile in termini quantitativi l’efficacia del proprio impegno alla
conformità, riducendo continuamente i rischi e tenendo sotto controllo i costi
- Prevenire e ridurre l’impatto di eventuali incidenti sulla continuità operativa e
sulla sopravvivenza dell’organizzazione

Introduzione – la ricerca di una soluzione
La ricerca di una soluzione che possa fornire risposte
adeguate al quesito iniziale ha portato alla formulazione di
un nuovo modello di gestione denominato Lean
Compliance Management che sintetizza alcuni strumenti
ben noti nel mondo delle imprese e della consulenza di
direzione:
▪ compliance management system
▪ six sigma
▪ lean management

Introduzione – scopo della presentazione
Lean Compliance Management è una metodologia, accessibile per
qualsiasi tipo di organizzazione, che può essere messa in pratica con
investimenti sostenibili, avente lo scopo di realizzare i seguenti
obiettivi:
▪ compliance totale rispetto ai requisiti legislativi, regolamentari,
normativi, contrattuali, o applicabili per scelta volontaria
▪ resilienza dell’organizzazione, ovvero robustezza rispetto ad eventi
accidentali o incidenti potenzialmente distruttivi per l’azienda, e allo
stesso tempo mantenimento della continuità operativa
▪ prestazioni aziendali di eccellenza
▪ efficienza della gestione
▪ flessibilità organizzativa

Introduzione – le fonti del modello
La presentazione fa riferimento alle seguenti fonti:
▪ ISO Focus #103,
#103 March-April 2014 “Why compliance matters”
▪ ISO Guide 73:2009 “Risk management – Vocabulary”
▪ ISO/DIS 19600 “Compliance management systems – Guidelines”
▪ ISO 31000:2009 “Risk management -- Principles and guidelines”
▪ IEC/ISO 31010:2009 “Risk management – Risk assessment techniques”
▪ ISO 22301:2012 “Societal security -- Business continuity management systems Requirements”
▪ ISO Guide 83 “High level structure and identical text for management system
standards and common core management system terms and definitions”.

Compliance Management
System
ISO/DIS 19600

Definizione di Compliance
La recente pubblicazione del draft ISO/DIS 19600 ha fornito una definizione
dei termini “Compliance” e “Compliance Obligation” (cfr. ISO/DIS 19600,
3.24 e 3.31), la cui libera traduzione in lingua italiana è

«Conformità
a
tutti
i
requisiti
che
un’organizzazione è tenuta a rispettare, in quanto
obbligatori, o volontariamente scelti»

Definizione di Compliance
La Compliance è il risultato conseguito dalle organizzazioni che
assumono l’impegno di rispettare la totalità delle proprie
obbligazioni.
L’impegno dichiarato da parte di un’organizzazione a conseguire la
Compliance implica per essa il rispetto di:
• tutte le leggi e le normative applicabili e che abbiano un impatto
sulla propria attività
• tutte le condizioni contrattuali concordate con i propri clienti e le
altre parti interessate
• tutti i requisiti, scelti su base volontaria, in accordo alla propria
politica aziendale.

Compliance Management System

L’applicazione di un Compliance Management
System (CMS) è una delle soluzioni offerte alle
organizzazioni per prevenire efficacemente le
conseguenze delle non conformità.

Compliance Management System
Le finalità di un CMS includono:
- Consentire all’organizzazione di tenere efficacemente
sotto controllo i rischi interni ed esterni associati alle
obbligazioni alle quali deve attenersi
- Contribuire a mitigare le conseguenze di eventuali non
conformità, difendere la reputazione dell’impresa e
conservare la fiducia del mercato

Compliance Management System

È possibile realizzare un sistema di gestione della
compliance che sia semplice, affidabile, facile da
applicare e riconoscibile da parte del mercato?
A tale scopo, ISO ha rilasciato una nuova norma
(ancora allo stato di draft international standard):
ISO/DIS 19600
“Compliance Management System – Guidelines”.

Compliance Management System
ISO ha pubblicato la norma ISO/DIS
19600, il cui scopo è di offrire alle
organizzazioni una guida per
stabilire, sviluppare, implementare,
valutare, mantenere e migliorare un
sistema di gestione della compliance
che risulti efficace e rispondente alle
esigenze.

Compliance Management System
L’articolato di ISO/DIS 19600
prevede I 10 capitoli come previsto
dalla nuova struttura stabilita in
ISO Guide 83 (“High level structure
and identical text for management
system standards and common core
management system terms and
definitions”).
La struttura della norma rispecchia
l’applicazione del modello PDCA,
che esprime il principio del
miglioramento continuo

According to PDCA methodology, the
Compliance Management System includes
the following phases

Compliance Management System

Compliance Management System

Compliance Management System

Compliance Management System

Compliance Management System
Il punto iniziale essenziale per l’aefficace attuazione del
CMS è la comprensione del contesto in cui
l’organizzazione agisce.
La comprensione del contesto include la determinazione
dei rischi interni ed esterni all’organizzazione
(compliance risks).
A tale scopo, l’organizzazione ha la necessità di prendere
in considerazione numerosi aspetti esterni e interni
all’organizzazione (i.e.: regolamentazione vigente, aspetti
sociali e culturali, situazione economica, politiche aziendali,
risorse, etc.).

Compliance
Risk Management
Business Continuity Management
ISO/DIS 19600, ISO 31000 and ISO 22301

Compliance and Risk Management

Compliance and Risk Management

Le linee guida ISO/DIS 19600 possono essere
utilmente integrate con le norme ISO_31000
e ISO_22301, per attuare un sistema di
gestione della compliance che, partendo da
un’efficace valutazione dei rischi, conferisca
all’organizzazione la capacità di fronteggiare
incidenti
ed
eventi
potenzialmente
distruttivi.

Compliance and Risk Management

Le organizzazioni hanno la necessità di valutare in
termini possibilmente quantitativi le conseguenze
del mancato rispetto di:
▪ Leggi e regolamenti applicabili nel proprio settore e
aventi impatto sulla propria attività
▪ Clausole contrattuali stipulate con i clienti e con
altre parti interessate
▪ Altri requisiti scelti su base volontaria, in accordo
alle politiche aziendali.

Compliance and Risk Management
Con il termine “Risk
Assessment” si individua
il processo che comprende
le fasi di identificazione,
analisi e valutazione del
rischio.
Il modo in cui si esplica il
processo di Risk
Assessment dipende dal
contesto, dalle
metodologie e dalle
tecniche applicate.

ISO 31000
Risk
management —
Principles and
guidelines
Provides the
principles and
guidelines for
managing any
form of risk in a
systematic,
transparent and
credible manner
and within any
scope and context.

Compliance and Business Continuity Management
ISO 22301 specifica i
requisiti per pianificare,
stabilire, implementare,
attuare, monitorare,
riesaminare, mantenere e
migliorare continuamente
un sistema di gestione
documentato, allo scopo di
essere preparati a rispondere
al verificarsi di accadimenti
potenzialmente distruttivi
per l’organizzazione.

Compliance and business continuity
Following PDCA methodology, the BCMS according
to ISO 22301 includes the following phases

ISO 22301 è stata la prima
norma emessa in conformità
alla ISO/Guide 83 (“High level
structure and identical text for
management system standards
and common core management
system terms and definitions”).

Compliance and business continuity

ISO 22301
The PDCA
model applied
to BCMS
processes

Compliance and business continuity
ISO 22301 - The PDCA model applied to BCMS processes

Compliance and business continuity
ISO 22301 può essere adottata da qualsiasi organizzazione che
intenda:
▪ Stabilire, implementare, mantenere e migliorare un sistema
di gestione della continuità operativa (BCMS)
▪ Assicurare la conformità
continuità operativa

alle

politiche

aziendali

di

▪ Dimostrare la conformità alle parti interessate
▪ Conseguire la certificatione del BCMS da parte di un
Organismo di Certificazione
▪ Rilasciare una dichiarazione di conformità alla norma ISO
22301.

L’organizzazione flessibile
La necessità di adattamento delle organizzazioni
ai cambiamenti del contesto

L’organizzazione flessibile
Uno dei punti chiave dell’approccio metodologico
denominato Lean Compliance Management è la
definizione di un’organizzazione flessibile e resiliente.
Il contesto in cui operano le organizzazioni è soggetto a
continui cambiamenti. La complessità aumenta e con essa
anche i rischi di non riuscire a mantenere l’impegno alla
Compliance.

L’organizzazione flessibile
Per fare fronte ai cambiamenti del contesto, all’insorgere
di nuovi pericoli e alle continue variazioni dei rischi, le
organizzazioni devono sviluppare la propria capacità di
adattamento e la velocità di cambiamento.
Le organizzazioni prive di capacità di adattamento, o lente
nel recepimento e nell’attuazione del cambiamento,
rischiano di non sopravvivere.

L’approccio quantitativo alla
gestione della compliance
Le basi teoriche del modello

Le basi teoriche del modello
«When you can measure what you are
speaking about and express it in numbers, you know
something about it, but when you cannot express it in
numbers, your knowledge is of a meagre and
unsatisfactorily kind.»
Lord Kelvin (1824-1907)

Le basi teoriche del modello

ISO Guide 73

L’accettazione del rischio dovrebbe essere decisa dopo avere
valutato le effettive conseguenze dell’evento negativo.

Le basi teoriche del modello
Conosciamo solo ciò che misuriamo ed esprimiamo in
termini numerici e quantitativi.
Se decidiamo di non misurare qualcosa, non siamo in
grado di tenerla sotto controllo, quindi accettiamo di
essere alla mercé del caso.
La domanda che sorge spontanea è:
Possiamo accettare il rischio di essere alla mercé del
caso quando gestiamo un’organizzazione aziendale?

Le basi teoriche del modello

Abbiamo bisogno di misurare i rischi connessi
alle conseguenze del mancato rispetto delle
regole della Compliance e di esprimerli in
termini quantitativi, se vogliamo tenerli sotto
controllo.
Se non misuriamo i rischi, non possiamo
tenerli sotto controllo. Se non li teniamo sotto
controllo, stiamo accettando di essere alla
mercé del caso.

Le basi teoriche del modello

Se noi realmente non accettiamo di essere alla
mercé del caso
e vogliamo governare i processi della nostra
organizzazione aziendale,
Ci servono informazioni
in termini di fatti e numeri.

Six sigma and compliance management

Six sigma
Applicazione della «breakthrough strategy» al
Sistema di Gestione della Compliance

Six sigma and compliance management
Six sigma breakthrough strategy si articola su cinque fasi
interconnesse: D.M.A.I.C.
DEFINE:

identify the Critical to Quality (CTQ) characteristics of
products/processes and the best in class performances to
benchmark

MEASURE:

determine the process baseline, or “where we are” in terms of
process capability

ANALYSE:

discover the causes of the gap between the actual performance
and the benchmark

IMPROVE:

improvement projects to reduce the gap and reach the best in
class performance

CONTROL:

consolidation of the results and continuous improvement

Six sigma and compliance management
six sigma – breakthrough strategy
DEFINE

Six sigma and compliance management
Estendiamo le definizioni della
Compliance Management System.

CTQ

breakthrough

strategy

al

CTC

Definiamo le variabili “Critical to Compliance” come il
sottoinsieme dei processi aziendali che possono avere un impatto
critico sulla Compliance

Six sigma and Compliance Management

The set of business
processes which affect
any of the Compliance
Requirements

CTC = Critical to Compliance
characteristics

Compliance
Related
processes

CTC

The subset of
business processes
which affect critical
compliance
requirements
(e.g. laws,
regulations,
contracts, other
critical
requirements)

Six sigma and compliance management
Per le variabili CTC, la prestazione da assumere come
obiettivo di lungo periodo è:
Number of noncompliances<3.4 DPMO
Dove DPMO, nella metodologia six sigma, è la misura
espressa in “difetti per milione di opportunità”
e definiamo “difetto” qualsiasi nonconformità che abbia
impatto su una variabile CTC.

Six sigma and compliance management
Number of noncompliances<3.4 DPMO
Ciascuna clausola in una legge o in un regolamento è
un’opportunità per un difetto.
Ciascuna clausola in un contratto stipulato con un cliente
è un’opportunità per un difetto.
Quante sono le clausole legislative che possono generare
difetti nella nostra organizzazione?
Abbiamo mai provato a calcolare la capacità dei nostri
processi in termini di efficacia per la Compliance?

Six sigma and compliance management
Con riferimento alle variabili CTC, non possiamo attendere che si manifestino le
conseguenze delle non conformità, perché le conseguenze potrebbero essere
distruttive per l’organizzazione.
Il modello Lean Compliance Management prevede I seguenti passi:
- Effettuare la valutazione dei rischi, seguendo la ISO 31000, e individuare le variabili CTC
- Effettuare la Business Impact Analysis, applicando la ISO 22301, e simulare gli effetti
eventualmente distruttivi degli eventi critici per la compliance
- Pianificare le risposte da attuare in caso di manifestazione di eventi potenzialmente distruttivi
(Business Continuity Plans, secondo ISO 22301)
- Pianificare adeguati stress-test per simulare gli effetti degli eventi negativi e l’efficacia delle
risposte pianificate e validare i piani di continuità operativa
- Eseguire con regolarità gli Stress-Tests e riesaminare i risultati espressi in forma quantitativa
(DPMO)
- Migliorare continuamente i Business Continuity Plan in accordo al riesame dei risultati degli
Stress-Test

Lean Compliance
Management
Come rendere efficiente il sistema di gestione della
compliance, evitando ogni spreco di risorse

Lean compliance management
L’idea che è alla base del Lean Management è la massimizzazione
del valore per le parti interessate (soci, investitori, finanziatori,
lavoratori, clienti, fornitori, etc.) riducendo gli sprechi di risorse.
La Lean Organization sa individuare quali prestazioni
costituiscano un valore per le parti interessate e concentra su di
esse i propri sforzi per migliorare continuamente.

L’obiettivo del Lean Management si sintetizza in:
▪Massimizzare il valore percepito dalle parti interessate
▪Azzerare gli sprechi

CONCLUSIONI
La Compliance può costituire un’opportunità redditizia per le imprese che
intendono avere successo ed essere competitive, purché esse siano in grado
di tenere sotto controllo i rischi e li accettino solo in base a considerazioni
razionali di tipo quantitativo.
Il Compliance Management System, l’organizzazione flessibile, la
metodologia six sigma e il lean management sono stati armonizzati da
LCBS in un modello denominato Lean Compliance Management.
LCBS è anche la sigla che identifica il team di professionisti internazionali
che ha definito ed è in grado di realizzare sistemi di gestione della
compliance adeguati per ogni genere di organizzazione, incluse le piccole
e medie imprese.
Gli argomenti enunciati nel presente articolo sono oggetto di ulteriori
pubblicazioni.

Bibliografia
ISO Focus #103, March-April 2014 “Why compliance matters”
ISO Guide 73:2009 “Risk management – Vocabulary”
ISO/DIS 19600 “Compliance management systems – Guidelines”
ISO 31000:2009 “Risk management -- Principles and guidelines”
IEC/ISO 31010:2009 “Risk management – Risk assessment techniques”
ISO 22301:2012 “Societal security -- Business continuity management systems - Requirements”
ISO Guide 83 “High level structure and identical text for management system standards and common
core management system terms and definitions”
V. Yarnykh, A. Celuzza - “Lean Compliance Management” – L&M Leadership & Management –
Settembre/Ottobre 2014

Grazie dell’attenzione
alessandro.celuzza@gmail.com

www.lcbs-ww.com