Se fai parte di un consiglio di amministrazione o sei un dirigente con responsabilità di governance, sai che il modo in cui un'organizzazione viene governata determina tutto il resto. Ho visto aziende con prodotti eccellenti crollare perché il CdA non aveva strumenti per monitorare i rischi. Ho visto PMI crescere perché il fondatore aveva capito che governance non significa burocrazia, ma metodo. Le norme ISO dedicate alla governance aziendale e alla leadership offrono esattamente questo: un framework strutturato per dirigere con metodo, misurare i risultati e rendere conto agli stakeholder. In questa guida li analizziamo tutti, dalla ISO 37000 sulla governance organizzativa ai sistemi anticorruzione e al compliance management, passando per il reporting ESG, la gestione dei rischi e il coinvolgimento degli stakeholder.
Governance aziendale e il ruolo crescente degli standard internazionali
La governance aziendale è il sistema attraverso cui un'organizzazione viene diretta, controllata e resa accountable. Per decenni è stata territorio di codici nazionali — il Codice di Corporate Governance di Borsa Italiana (ex Codice Preda), il Combined Code britannico, i Principles of Corporate Governance dell'OCSE — e di norme cogenti come il D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti e il Testo Unico della Finanza (D.Lgs. 58/1998).
Negli ultimi anni gli standard internazionali ISO hanno iniziato a giocare un ruolo crescente. La ragione è semplice: i codici di governance nazionali dicono cosa fare, le norme ISO spiegano come farlo. Un codice ti dice che devi avere un sistema di controllo interno; la ISO 31000 ti spiega come costruirlo. Un codice ti dice che devi prevenire la corruzione; la ISO 37001 ti dà un sistema di gestione certificabile per farlo. Mi è capitato di lavorare con il CdA di un gruppo industriale veneto che aveva adottato formalmente il Codice di Corporate Governance ma, nella pratica, non sapeva come tradurlo in processi operativi. L'adozione delle norme ISO — partendo dalla 37000 come cornice e aggiungendo la 37001 e la 37301 — ha trasformato la governance da esercizio dichiarativo a sistema gestionale concreto.
Il vantaggio degli standard ISO è la struttura: sono progettati per essere implementati, verificati e migliorati. Il loro linguaggio comune — basato sull'Annex SL — permette di integrare governance, risk management, compliance e qualità in un framework coerente.
ISO 37000: principi di governance delle organizzazioni (sintesi e link)
La ISO 37000:2021 — Governance of organizations — Guidance — stabilisce i principi fondamentali per una governance efficace. Non è uno standard certificabile: è una linea guida che offre un quadro di riferimento per qualsiasi organizzazione, indipendentemente da dimensione o settore. I suoi undici principi coprono l'intero spettro della governance: scopo (purpose), generazione di valore, strategia, supervisione (oversight), accountability, direzione del board, coinvolgimento degli stakeholder, performance, delegazione, trasparenza e responsabilità sociale.
Il principio di purpose è il cuore della ISO 37000: ogni decisione di governance deve essere ancorata allo scopo dell'organizzazione, inteso non come mission statement da appendere in reception, ma come criterio decisionale operativo. Ho visto troppi CdA discutere per ore di operazioni straordinarie senza mai chiedersi se fossero coerenti con il purpose dichiarato. Un altro elemento distintivo è il concetto di governing body come custode del valore a lungo termine: il CdA governa, il management gestisce. Distinzione banale in teoria, problematica nella pratica, specialmente nelle aziende familiari dove il fondatore siede nel board e dirige l'operatività.
Ne parliamo in dettaglio nell'articolo dedicato alla ISO 37000. Per il CdA che vuole strutturare la propria governance secondo standard internazionali, questa norma è il punto di partenza: definisce il perché e il cosa, lasciando alle norme specifiche (ISO 37001, ISO 37301, ISO 31000) il compito di definire il come.
ISO 37001: sistemi anticorruzione nella governance
La ISO 37001:2016 — Anti-bribery management systems — è lo standard certificabile per la prevenzione e gestione della corruzione. In Italia, dove il Corruption Perceptions Index di Transparency International ci colloca stabilmente nella parte bassa della classifica europea, questa norma ha un valore strategico enorme. La ISO 37001 è compatibile con il D.Lgs. 231/2001: un sistema anticorruzione certificato può essere utilizzato come elemento del Modello Organizzativo 231 per dimostrare l'idoneità delle misure preventive.
La norma richiede controlli specifici: due diligence sui business partner, valutazione del rischio corruzione per funzione e area geografica, procedure per regali, ospitalità, donazioni e sponsorizzazioni, canali di whistleblowing, formazione anticorruzione differenziata per livello di esposizione al rischio. Requisito chiave è la nomina di una funzione di conformità anticorruzione con autorità, indipendenza e risorse adeguate.
Ho lavorato con una società di costruzioni di Napoli che operava in appalti pubblici e aveva subito un procedimento penale per corruzione. Dopo il prosciugimento, il CdA ha deciso di implementare la ISO 37001: mappatura dei rischi per cantiere e fase di gara, revisione delle procedure di approvvigionamento, implementazione di un sistema di whistleblowing conforme alla Direttiva (UE) 2019/1937 (recepita con D.Lgs. 24/2023), formazione a cascata. La certificazione è diventata il loro biglietto da visita nelle gare: non cancella il passato, ma dimostra un impegno verificabile.
ISO 37301: compliance management per il board
La ISO 37301:2021 ha sostituito la ISO 19600:2014, trasformandola da linea guida a standard certificabile. Mentre la ISO 37001 si concentra sulla corruzione, la ISO 37301 copre l'intero spettro degli obblighi di compliance: normativi, regolamentari, contrattuali e derivanti da standard volontari. Per un CdA, avere un compliance management system strutturato significa disporre di un processo sistematico per identificare gli obblighi applicabili, valutare il rischio di non conformità, implementare controlli proporzionati e monitorarne l'efficacia.
La struttura segue l'Annex SL, rendendola integrabile con la ISO 37001 e con altri sistemi di gestione. I requisiti chiave: politica di compliance approvata dal top management, identificazione sistematica degli obblighi, valutazione del rischio di non conformità, formazione del personale, monitoraggio delle performance di compliance, riesame della direzione.
Mi è capitato con un'azienda farmaceutica di Roma: il CdA riceveva report di compliance frammentati da funzioni diverse — regolatorio, legale, qualità, ambiente — senza una visione integrata. L'implementazione della ISO 37301 ha permesso di costruire un registro unico degli obblighi, una matrice di rischio consolidata e un reporting periodico strutturato. Il presidente del CdA mi ha detto: prima navigavamo a vista, ora abbiamo un cruscotto.
ISO 30414: metriche di capitale umano per il reporting di governance
La ISO 30414:2018 — Guidelines for internal and external human capital reporting — è una norma che i CdA italiani stanno ancora largamente ignorando, e fanno male. Definisce metriche standardizzate per misurare il valore del capitale umano: costo della forza lavoro, produttività, turnover, diversità, leadership development, engagement, formazione. Non è certificabile, ma fornisce il framework per un reporting che investitori istituzionali e agenzie di rating ESG richiedono con crescente insistenza.
Perché riguarda la governance? Perché il capitale umano è il primo fattore di creazione o distruzione di valore, e un CdA senza metriche sulle proprie persone governa al buio. La ISO 30414 distingue tra metriche per il reporting interno (decisioni operative) e per il reporting esterno (valutazione della sostenibilità del modello di business): costo della forza lavoro come percentuale dei ricavi, turnover volontario, diversità di genere nei ruoli di leadership, ore di formazione pro capite.
Ho lavorato con un gruppo manifatturiero di Bergamo quotato all'Euronext Growth Milan. I dati HR arrivavano in formati diversi da ogni stabilimento, con definizioni incoerenti. L'adozione della ISO 30414 ha permesso di standardizzare le definizioni, costruire un cruscotto comparabile e integrare le metriche HR nella Dichiarazione Non Finanziaria. Il risultato: un reporting del capitale umano che gli analisti possono effettivamente utilizzare, non un elenco di buone intenzioni nel bilancio di sostenibilità.
ESG governance: la clausola 5 Leadership nell'Annex SL
L'Annex SL è la struttura armonizzata che tutte le norme ISO sui sistemi di gestione devono adottare. La sua clausola 5 — Leadership è il punto dove governance e sistemi di gestione si incontrano. Richiede che il top management dimostri leadership e impegno, stabilisca una politica coerente con gli obiettivi strategici, assegni ruoli e responsabilità, e assicuri che il sistema raggiunga i risultati attesi.
Nel contesto ESG, la clausola 5 assume un significato particolare. La ISO 14001 (ambiente), la ISO 45001 (salute e sicurezza), la ISO 37001 (anticorruzione), la ISO 37301 (compliance): tutte richiedono che il top management — e per estensione il CdA — si faccia carico della leadership del sistema. Un consiglio di amministrazione che adotta più sistemi di gestione ISO deve dimostrare, durante gli audit, il proprio impegno su ciascuna dimensione ESG. Non basta una delibera: servono evidenze di riesame, decisioni documentate, risorse allocate, obiettivi misurabili.
Un errore frequente nei CdA delle medie imprese è delegare completamente la clausola 5 al responsabile del sistema di gestione. In un'azienda chimica di Ravenna, durante un audit ISO 14001, l'auditor ha chiesto all'AD quali fossero gli obiettivi ambientali dell'anno e come si collegassero alla strategia aziendale. L'AD non ha saputo rispondere: aveva firmato la politica ambientale senza leggerla. La non conformità maggiore che ne è seguita ha costretto il CdA a ripensare il proprio ruolo. La clausola 5 non è burocrazia: è il punto in cui la governance prende sostanza operativa.
Il ruolo del CdA nella gestione dei rischi: ISO 31000 applicata
La ISO 31000:2018 — Risk management — Guidelines — è il framework di riferimento per la gestione del rischio e ha un legame diretto con la governance aziendale. Non è certificabile, ma è lo strumento più utilizzato al mondo per costruire un sistema di risk management strutturato. Il Codice di Corporate Governance di Borsa Italiana, nella Raccomandazione 32, chiede al CdA di definire la natura e il livello di rischio compatibile con gli obiettivi strategici: la ISO 31000 fornisce la metodologia per farlo.
Per un CdA, la norma offre un processo in cinque fasi: definizione del contesto (scope, context, criteria), identificazione dei rischi, analisi, valutazione e trattamento, il tutto in un ciclo continuo di comunicazione, monitoraggio e riesame.
Ho seguito un gruppo assicurativo di Trieste nell'implementazione della ISO 31000 a livello di board. La sfida era passare da una gestione frammentata — rischio operativo dall'IT, rischio finanziario dalla finanza, rischio reputazionale dalla comunicazione — a un Enterprise Risk Management integrato. Il CdA ha istituito un Comitato Rischi con risk appetite statement formalizzato, risk taxonomy unica e reporting trimestrale su matrice probabilità-impatto. Il passaggio chiave è stato coinvolgere i consiglieri indipendenti nella definizione del risk appetite: la ISO 31000 ha fornito linguaggio e struttura, il CdA la visione strategica. Ne parliamo nell'articolo dedicato alla ISO 31000.
Comitati di controllo, OdV 231 e certificazioni ISO
Il sistema di controllo interno di una società italiana si articola su più livelli: CdA con funzione di indirizzo, Comitato Controllo e Rischi (per le quotate), Collegio Sindacale (art. 2403 c.c.), Organismo di Vigilanza ex D.Lgs. 231/2001, Internal Audit e, nelle quotate, il dirigente preposto (art. 154-bis TUF). Questa architettura multilivello è una peculiarità italiana che genera complessità ma anche ridondanza di controllo.
Le certificazioni ISO si inseriscono come strumenti operativi. L'OdV 231 trae vantaggio diretto dai sistemi certificati: la ISO 37001 copre i reati di corruzione del catalogo 231, la ISO 14001 copre i reati ambientali, la ISO 45001 copre i reati legati alla sicurezza sul lavoro. Le Linee Guida di Confindustria per la costruzione dei Modelli 231 (aggiornate nel 2021) riconoscono espressamente il valore delle certificazioni ISO come elementi del sistema di prevenzione.
Un caso concreto: un'azienda alimentare di Parma aveva un Modello 231 ben scritto ma statico. L'OdV segnalava ogni anno le stesse raccomandazioni, il management le recepiva formalmente senza implementarle. Quando abbiamo integrato il Modello con le certificazioni ISO 14001, ISO 45001 e ISO 37001, il sistema ha preso vita: gli audit di terza parte hanno portato alla luce non conformità che l'OdV da solo non intercettava, i piani di miglioramento sono diventati vincolanti, e il reporting al CdA si è arricchito di dati oggettivi. OdV 231 e certificazioni ISO non sono alternativi: sono complementari.
Stakeholder engagement e governo delle parti interessate
La clausola 4.2 dell'Annex SL — Understanding the needs and expectations of interested parties — impone a ogni sistema di gestione ISO di identificare le parti interessate rilevanti e determinarne i requisiti. Il CdA non governa nel vuoto, ma dentro una rete di aspettative: azionisti, dipendenti, clienti, fornitori, comunità locali, regolatori, investitori istituzionali e, sempre più, le generazioni future attraverso le aspettative ESG.
Lo stakeholder engagement strutturato è il processo con cui il CdA identifica, prioritizza e gestisce queste aspettative. La AA1000SES e i GRI Standards (GRI 2: General Disclosures 2021, sezione 2-29) offrono metodologie riconosciute. Le norme ISO contribuiscono: la ISO 37000 pone lo stakeholder engagement tra i principi di governance, la ISO 26000 dedica il clausolato 5 all'identificazione e coinvolgimento degli stakeholder.
Ho seguito un'utility toscana che doveva rinnovare una concessione per un impianto di trattamento rifiuti. Il CdA gestiva i rapporti con la comunità locale in modo reattivo — comunicati quando c'erano proteste, riunioni con il sindaco quando la situazione si surriscaldava. Abbiamo costruito un processo strutturato: mappatura con matrice influenza-interesse, analisi di materialità, tavoli di ascolto periodici, reporting trasparente su emissioni e piani di miglioramento. La concessione è stata rinnovata con il sostegno del Comune.
Codice di condotta e politiche aziendali: come strutturarli
Il codice di condotta è il documento con cui il CdA comunica valori, principi e regole comportamentali dell'organizzazione. Non è un documento decorativo: è uno strumento di governance che orienta le decisioni quotidiane. La ISO 37001 (clausola 8.2) richiede una politica anticorruzione, la ISO 37301 (clausola 5.2) richiede una politica di compliance. Nella pratica, queste politiche confluiscono spesso nel codice di condotta, documento ombrello della governance etica.
Un codice efficace deve essere scritto in linguaggio comprensibile, coprire situazioni concrete (conflitti di interesse, regali, rapporti con la PA, riservatezza), prevedere un meccanismo di segnalazione protetto e un programma di formazione. Un codice che nessuno legge è peggio di non averlo: crea un falso senso di sicurezza.
Le politiche aziendali — anticorruzione, whistleblowing, conflitti di interesse, privacy, sostenibilità — sono il secondo livello della governance documentale. Ho ristrutturato il corpus documentale per una banca cooperativa del Trentino: diciassette politiche scritte in momenti diversi, con sovrapposizioni e incoerenze. Le abbiamo ridotte a nove, strutturate con un template unico coerente con i requisiti ISO, collegate al codice di condotta e al Modello 231. Il CdA le approva annualmente, la funzione compliance ne monitora l'applicazione. Le politiche funzionano quando sono poche, chiare e realmente applicate.
Casi di governance fallita: lezioni dai grandi scandali
Studiare i fallimenti è il modo più efficace per capire perché servono sistemi strutturati. Il caso Parmalat (2003) resta il più emblematico per l'Italia: governance costruita per apparire solida all'esterno mentre un ristretto gruppo falsificava i bilanci per coprire un buco da 14 miliardi di euro. Il CdA non ha intercettato la frode perché non aveva strumenti indipendenti di verifica. La lezione: un CdA senza fonti informative indipendenti è un CdA cieco.
Il caso Wirecard (2020) ha dimostrato che il problema non è solo italiano. Una società quotata nel DAX ha nascosto 1,9 miliardi inesistenti per anni. Il CdA e il Comitato Audit non hanno mai verificato indipendentemente l'esistenza dei conti fiduciari asiatici. La ISO 37001 (due diligence indipendente) e la ISO 31000 (identificazione strutturata dei rischi) offrono strumenti che avrebbero reso la frode molto più difficile da perpetuare.
Il caso Volkswagen Dieselgate (2015) aggiunge un'altra dimensione: governance fallita non per assenza di controlli, ma per una cultura che scoraggiava la dissidenza. Sistemi certificati, comitati di controllo, funzioni di compliance — eppure migliaia di ingegneri hanno implementato un software di manipolazione delle emissioni senza che i canali di segnalazione funzionassero. La lezione: i sistemi funzionano solo se la cultura organizzativa li sostiene. La clausola 5 dell'Annex SL chiede al top management di promuovere una cultura che supporti il sistema di gestione: nel caso VW, questa clausola era disattesa nella sostanza.
FAQ
La ISO 37000 è certificabile?
No. La ISO 37000:2021 è una norma guida che fornisce principi e raccomandazioni per la governance. Non prevede requisiti certificabili da un organismo terzo, ma i suoi principi possono essere adottati per l'autovalutazione della governance da parte del CdA.
Qual è la differenza tra ISO 37001 e ISO 37301?
La ISO 37001 è focalizzata sulla prevenzione della corruzione. La ISO 37301 copre l'intero spettro degli obblighi di compliance — normativi, regolamentari, contrattuali e volontari — di cui l'anticorruzione è un sottoinsieme. Sono complementari e condividono la struttura dell'Annex SL.
Come si integra la ISO 31000 con il Modello 231?
La ISO 31000 fornisce la metodologia per la gestione del rischio che il D.Lgs. 231/2001 richiede ma non dettaglia. Il Modello 231 impone di identificare i rischi-reato e adottare protocolli preventivi: la ISO 31000 offre il processo strutturato per farlo.
Quali certificazioni ISO sono più utili per il CdA di una PMI?
Per una PMI italiana: ISO 37001 (anticorruzione, utile per il 231 e le gare pubbliche), ISO 9001 (sistema qualità), ISO 45001 (sicurezza sul lavoro, copre rischi penali significativi). ISO 37301 e ISO 14001 seguono in ordine di priorità a seconda del settore.
La clausola 5 dell'Annex SL impone obblighi al CdA?
Si rivolge al top management. Durante gli audit, gli auditor possono intervistare i vertici aziendali per verificare impegno e consapevolezza rispetto al sistema di gestione. Un CdA che non conosce la politica approvata o gli obiettivi del sistema genera non conformità.
La governance aziendale non è un tema da convegno: è il sistema operativo di ogni organizzazione. Le norme ISO non la rendono automaticamente efficace, ma offrono strumenti strutturati per costruirla, misurarla e migliorarla. Un framework ISO ben implementato riduce drasticamente lo spazio per l'improvvisazione, l'opacità e la negligenza. Per un CdA che vuole dirigere con metodo, le norme ISO sono il punto di partenza più solido disponibile.