Compliance Management

System
Come utilizzare nel modo efficace le norme
ISO 31000, ISO/DIS 19600 e ISO 22301
Alessandro Celuzza
Vicenza, 2014-10-10

Alessandro Celuzza
Ingegnere libero professionista, RSPP, Coordinatore Sicurezza
Lead auditor registrato KHC, qualit Q103 e sicurezza S759
Ispettore di prodotto per la marcatura CE dei prodotti da
costruzione
Socio Uniquality
Coordinatore nazionale della nuova sezione Unicompliance,
allinterno di Uniquality
Partner italiano della rete professionale LCBS Lean Compliance
Business Solutions

LCBS - Lean Compliance Business Solutions

LCBS la sigla che identifica il team internazionale di professionisti
che ha definito il proprio modello di Lean Compliance Management
e realizza sistemi di gestione della compliance adeguati per ogni
genere di organizzazione, incluse le piccole e medie imprese.
LCBS ha anche realizzato il primo corso di formazione per
Auditor/Lead Auditor di sistemi di gestione della compliance, in
corso di certificazione con KHC.
Gli argomenti enunciati nel corso della presentazione sono oggetto di
pubblicazioni internazionali.

Argomenti principali della presentazione

Introduzione
Scopo della presentazione e fonti del modello proposto
Lean Compliance Management
Una sintesi innovativa delle norme ISO31000, ISO/DIS19600 e ISO22301
Lapproccio quantitativo al compliance management
Un modello basato su fatti e numeri
Come mettere in pratica il modello di Lean Compliance Management
Suggerimenti per rendere operativo il sistema di gestione della
compliance

Introduzione
Scopo della presentazione e fonti del modello proposto

Introduzione il quesito iniziale

Partiamo da un quesito:

possibile definire una metodologia che consenta

unorganizzazione di perseguire e conciliare i seguenti obiettivi?

- Preservare il proprio orientamento al profitto

- Perseguire il rispetto di tutti gli obblighi ai quali soggetta
- Rendere misurabile in termini quantitativi lefficacia del proprio impegno alla
conformit, riducendo continuamente i rischi e tenendo sotto controllo i costi
- Prevenire e ridurre limpatto di eventuali incidenti sulla continuit operativa e
sulla sopravvivenza dellorganizzazione

Introduzione la ricerca di una soluzione

La ricerca di una soluzione che possa fornire risposte
adeguate al quesito iniziale ha portato alla formulazione di
un nuovo modello di gestione denominato Lean
Compliance Management che sintetizza alcuni strumenti
ben noti nel mondo delle imprese e della consulenza di
direzione:
compliance management system
six sigma
lean management

Introduzione scopo della presentazione

Lean Compliance Management una metodologia, accessibile per
qualsiasi tipo di organizzazione, che pu essere messa in pratica con
investimenti sostenibili, avente lo scopo di realizzare i seguenti
obiettivi:
compliance totale rispetto ai requisiti legislativi, regolamentari,
normativi, contrattuali, o applicabili per scelta volontaria
resilienza dellorganizzazione, ovvero robustezza rispetto ad eventi
accidentali o incidenti potenzialmente distruttivi per lazienda, e allo
stesso tempo mantenimento della continuit operativa
prestazioni aziendali di eccellenza
efficienza della gestione
flessibilit organizzativa

Introduzione le fonti del modello

La presentazione fa riferimento alle seguenti fonti:
ISO Focus #103,
#103 March-April 2014 Why compliance matters
ISO Guide 73:2009 Risk management Vocabulary
ISO/DIS 19600 Compliance management systems Guidelines
ISO 31000:2009 Risk management -- Principles and guidelines
IEC/ISO 31010:2009 Risk management Risk assessment techniques
ISO 22301:2012 Societal security -- Business continuity management systems Requirements
ISO Guide 83 High level structure and identical text for management system
standards and common core management system terms and definitions.

Compliance Management
System
ISO/DIS 19600

Definizione di Compliance
La recente pubblicazione del draft ISO/DIS 19600 ha fornito una definizione
dei termini Compliance e Compliance Obligation (cfr. ISO/DIS 19600,
3.24 e 3.31), la cui libera traduzione in lingua italiana

Conformit
a
tutti
i
requisiti
che
unorganizzazione tenuta a rispettare, in quanto
obbligatori, o volontariamente scelti

Definizione di Compliance
La Compliance il risultato conseguito dalle organizzazioni che
assumono limpegno di rispettare la totalit delle proprie
obbligazioni.
Limpegno dichiarato da parte di unorganizzazione a conseguire la
Compliance implica per essa il rispetto di:
tutte le leggi e le normative applicabili e che abbiano un impatto
sulla propria attivit
tutte le condizioni contrattuali concordate con i propri clienti e le
altre parti interessate
tutti i requisiti, scelti su base volontaria, in accordo alla propria
politica aziendale.

Compliance Management System

Lapplicazione di un Compliance Management

System (CMS) una delle soluzioni offerte alle
organizzazioni per prevenire efficacemente le
conseguenze delle non conformit.

Compliance Management System

Le finalit di un CMS includono:
- Consentire allorganizzazione di tenere efficacemente
sotto controllo i rischi interni ed esterni associati alle
obbligazioni alle quali deve attenersi
- Contribuire a mitigare le conseguenze di eventuali non
conformit, difendere la reputazione dellimpresa e
conservare la fiducia del mercato

Compliance Management System

possibile realizzare un sistema di gestione della

compliance che sia semplice, affidabile, facile da
applicare e riconoscibile da parte del mercato?
A tale scopo, ISO ha rilasciato una nuova norma
(ancora allo stato di draft international standard):
ISO/DIS 19600
Compliance Management System Guidelines.

Compliance Management System

ISO ha pubblicato la norma ISO/DIS
19600, il cui scopo di offrire alle
organizzazioni una guida per
stabilire, sviluppare, implementare,
valutare, mantenere e migliorare un
sistema di gestione della compliance
che risulti efficace e rispondente alle
esigenze.

Compliance Management System

Larticolato di ISO/DIS 19600
prevede I 10 capitoli come previsto
dalla nuova struttura stabilita in
ISO Guide 83 (High level structure
and identical text for management
system standards and common core
management system terms and
definitions).
La struttura della norma rispecchia
lapplicazione del modello PDCA,
che esprime il principio del
miglioramento continuo

According to PDCA methodology, the

Compliance Management System includes
the following phases

Compliance Management System

Compliance Management System

Compliance Management System

Compliance Management System

Compliance Management System

Il punto iniziale essenziale per laefficace attuazione del
CMS la comprensione del contesto in cui
lorganizzazione agisce.
La comprensione del contesto include la determinazione
dei rischi interni ed esterni allorganizzazione
(compliance risks).
A tale scopo, lorganizzazione ha la necessit di prendere
in considerazione numerosi aspetti esterni e interni
allorganizzazione (i.e.: regolamentazione vigente, aspetti
sociali e culturali, situazione economica, politiche aziendali,
risorse, etc.).

Compliance
Risk Management
Business Continuity Management
ISO/DIS 19600, ISO 31000 and ISO 22301

Compliance and Risk Management

Compliance and Risk Management

Le linee guida ISO/DIS 19600 possono essere

utilmente integrate con le norme ISO_31000
e ISO_22301, per attuare un sistema di
gestione della compliance che, partendo da
unefficace valutazione dei rischi, conferisca
allorganizzazione la capacit di fronteggiare
incidenti
ed
eventi
potenzialmente
distruttivi.

Compliance and Risk Management

Le organizzazioni hanno la necessit di valutare in

termini possibilmente quantitativi le conseguenze
del mancato rispetto di:
Leggi e regolamenti applicabili nel proprio settore e
aventi impatto sulla propria attivit
Clausole contrattuali stipulate con i clienti e con
altre parti interessate
Altri requisiti scelti su base volontaria, in accordo
alle politiche aziendali.

Compliance and Risk Management

Con il termine Risk
Assessment si individua
il processo che comprende
le fasi di identificazione,
analisi e valutazione del
rischio.
Il modo in cui si esplica il
processo di Risk
Assessment dipende dal
contesto, dalle
metodologie e dalle
tecniche applicate.

ISO 31000
Risk
management
Principles and
guidelines
Provides the
principles and
guidelines for
managing any
form of risk in a
systematic,
transparent and
credible manner
and within any
scope and context.

Compliance and Business Continuity Management

ISO 22301 specifica i
requisiti per pianificare,
stabilire, implementare,
attuare, monitorare,
riesaminare, mantenere e
migliorare continuamente
un sistema di gestione
documentato, allo scopo di
essere preparati a rispondere
al verificarsi di accadimenti
potenzialmente distruttivi
per lorganizzazione.

Compliance and business continuity

Following PDCA methodology, the BCMS according
to ISO 22301 includes the following phases

ISO 22301 stata la prima

norma emessa in conformit
alla ISO/Guide 83 (High level
structure and identical text for
management system standards
and common core management
system terms and definitions).

Compliance and business continuity

ISO 22301
The PDCA
model applied
to BCMS
processes

Compliance and business continuity

ISO 22301 - The PDCA model applied to BCMS processes

Compliance and business continuity

ISO 22301 pu essere adottata da qualsiasi organizzazione che
intenda:
Stabilire, implementare, mantenere e migliorare un sistema
di gestione della continuit operativa (BCMS)
Assicurare la conformit
continuit operativa

alle

politiche

aziendali

di

Dimostrare la conformit alle parti interessate

Conseguire la certificatione del BCMS da parte di un
Organismo di Certificazione
Rilasciare una dichiarazione di conformit alla norma ISO
22301.

Lorganizzazione flessibile
La necessit di adattamento delle organizzazioni
ai cambiamenti del contesto

Lorganizzazione flessibile
Uno dei punti chiave dellapproccio metodologico
denominato Lean Compliance Management la
definizione di unorganizzazione flessibile e resiliente.
Il contesto in cui operano le organizzazioni soggetto a
continui cambiamenti. La complessit aumenta e con essa
anche i rischi di non riuscire a mantenere limpegno alla
Compliance.

Lorganizzazione flessibile
Per fare fronte ai cambiamenti del contesto, allinsorgere
di nuovi pericoli e alle continue variazioni dei rischi, le
organizzazioni devono sviluppare la propria capacit di
adattamento e la velocit di cambiamento.
Le organizzazioni prive di capacit di adattamento, o lente
nel recepimento e nellattuazione del cambiamento,
rischiano di non sopravvivere.

Lapproccio quantitativo alla

gestione della compliance
Le basi teoriche del modello

Le basi teoriche del modello

When you can measure what you are
speaking about and express it in numbers, you know
something about it, but when you cannot express it in
numbers, your knowledge is of a meagre and
unsatisfactorily kind.
Lord Kelvin (1824-1907)

Le basi teoriche del modello

ISO Guide 73

Laccettazione del rischio dovrebbe essere decisa dopo avere

valutato le effettive conseguenze dellevento negativo.

Le basi teoriche del modello

Conosciamo solo ci che misuriamo ed esprimiamo in
termini numerici e quantitativi.
Se decidiamo di non misurare qualcosa, non siamo in
grado di tenerla sotto controllo, quindi accettiamo di
essere alla merc del caso.
La domanda che sorge spontanea :
Possiamo accettare il rischio di essere alla merc del
caso quando gestiamo unorganizzazione aziendale?

Le basi teoriche del modello

Abbiamo bisogno di misurare i rischi connessi

alle conseguenze del mancato rispetto delle
regole della Compliance e di esprimerli in
termini quantitativi, se vogliamo tenerli sotto
controllo.
Se non misuriamo i rischi, non possiamo
tenerli sotto controllo. Se non li teniamo sotto
controllo, stiamo accettando di essere alla
merc del caso.

Le basi teoriche del modello

Se noi realmente non accettiamo di essere alla

merc del caso
e vogliamo governare i processi della nostra
organizzazione aziendale,
Ci servono informazioni
in termini di fatti e numeri.

Six sigma and compliance management

Six sigma
Applicazione della breakthrough strategy al
Sistema di Gestione della Compliance

Six sigma and compliance management

Six sigma breakthrough strategy si articola su cinque fasi
interconnesse: D.M.A.I.C.
DEFINE:

identify the Critical to Quality (CTQ) characteristics of

products/processes and the best in class performances to
benchmark

MEASURE:

determine the process baseline, or where we are in terms of

process capability

ANALYSE:

discover the causes of the gap between the actual performance

and the benchmark

IMPROVE:

improvement projects to reduce the gap and reach the best in

class performance

CONTROL:

consolidation of the results and continuous improvement

Six sigma and compliance management

six sigma breakthrough strategy
DEFINE

Six sigma and compliance management

Estendiamo le definizioni della
Compliance Management System.

CTQ

breakthrough

strategy

al

CTC

Definiamo le variabili Critical to Compliance come il

sottoinsieme dei processi aziendali che possono avere un impatto
critico sulla Compliance

Six sigma and Compliance Management

The set of business

processes which affect
any of the Compliance
Requirements

CTC = Critical to Compliance

characteristics

Compliance
Related
processes

CTC

The subset of
business processes
which affect critical
compliance
requirements
(e.g. laws,
regulations,
contracts, other
critical
requirements)

Six sigma and compliance management

Per le variabili CTC, la prestazione da assumere come
obiettivo di lungo periodo :
Number of noncompliances<3.4 DPMO
Dove DPMO, nella metodologia six sigma, la misura
espressa in difetti per milione di opportunit
e definiamo difetto qualsiasi nonconformit che abbia
impatto su una variabile CTC.

Six sigma and compliance management

Number of noncompliances<3.4 DPMO
Ciascuna clausola in una legge o in un regolamento
unopportunit per un difetto.
Ciascuna clausola in un contratto stipulato con un cliente
unopportunit per un difetto.
Quante sono le clausole legislative che possono generare
difetti nella nostra organizzazione?
Abbiamo mai provato a calcolare la capacit dei nostri
processi in termini di efficacia per la Compliance?

Six sigma and compliance management

Con riferimento alle variabili CTC, non possiamo attendere che si manifestino le
conseguenze delle non conformit, perch le conseguenze potrebbero essere
distruttive per lorganizzazione.
Il modello Lean Compliance Management prevede I seguenti passi:
- Effettuare la valutazione dei rischi, seguendo la ISO 31000, e individuare le variabili CTC
- Effettuare la Business Impact Analysis, applicando la ISO 22301, e simulare gli effetti
eventualmente distruttivi degli eventi critici per la compliance
- Pianificare le risposte da attuare in caso di manifestazione di eventi potenzialmente distruttivi
(Business Continuity Plans, secondo ISO 22301)
- Pianificare adeguati stress-test per simulare gli effetti degli eventi negativi e lefficacia delle
risposte pianificate e validare i piani di continuit operativa
- Eseguire con regolarit gli Stress-Tests e riesaminare i risultati espressi in forma quantitativa
(DPMO)
- Migliorare continuamente i Business Continuity Plan in accordo al riesame dei risultati degli
Stress-Test

Lean Compliance
Management
Come rendere efficiente il sistema di gestione della
compliance, evitando ogni spreco di risorse

Lean compliance management

Lidea che alla base del Lean Management la massimizzazione
del valore per le parti interessate (soci, investitori, finanziatori,
lavoratori, clienti, fornitori, etc.) riducendo gli sprechi di risorse.
La Lean Organization sa individuare quali prestazioni
costituiscano un valore per le parti interessate e concentra su di
esse i propri sforzi per migliorare continuamente.

Lobiettivo del Lean Management si sintetizza in:

Massimizzare il valore percepito dalle parti interessate
Azzerare gli sprechi

CONCLUSIONI
La Compliance pu costituire unopportunit redditizia per le imprese che
intendono avere successo ed essere competitive, purch esse siano in grado
di tenere sotto controllo i rischi e li accettino solo in base a considerazioni
razionali di tipo quantitativo.
Il Compliance Management System, lorganizzazione flessibile, la
metodologia six sigma e il lean management sono stati armonizzati da
LCBS in un modello denominato Lean Compliance Management.
LCBS anche la sigla che identifica il team di professionisti internazionali
che ha definito ed in grado di realizzare sistemi di gestione della
compliance adeguati per ogni genere di organizzazione, incluse le piccole
e medie imprese.
Gli argomenti enunciati nel presente articolo sono oggetto di ulteriori
pubblicazioni.

Bibliografia
ISO Focus #103, March-April 2014 Why compliance matters
ISO Guide 73:2009 Risk management Vocabulary
ISO/DIS 19600 Compliance management systems Guidelines
ISO 31000:2009 Risk management -- Principles and guidelines
IEC/ISO 31010:2009 Risk management Risk assessment techniques
ISO 22301:2012 Societal security -- Business continuity management systems - Requirements
ISO Guide 83 High level structure and identical text for management system standards and common
core management system terms and definitions
V. Yarnykh, A. Celuzza - Lean Compliance Management L&M Leadership & Management
Settembre/Ottobre 2014

Grazie dellattenzione
alessandro.celuzza@gmail.com

www.lcbs-ww.com