Compliance: lo stato dell'arte

Il sistema economico-produttivo del nostro Paese è permeato da norme e regolamenti che influiscono sulla gestione dell’impresa e delle attività manageriali e professionali. In siffatto contesto, l’esigenza avvertita dalle imprese di assicurare la conformità del proprio agire a normative generali e di settore impone un ripensamento della funzione di compliance, la quale sta assumendo sempre più un ruolo strategico. Difatti, un approccio strategico, consapevole e strutturato alla compliance può essere in grado di rafforzare la competitività delle imprese, rendendole sempre più pronte ad affrontare le sfide organizzative ed economiche che l’attuale contesto ci sta ponendo dinanzi. Tuttavia, per poter raggiungere un traguardo così ambizioso, occorre partire da cosa si intende oggi per “compliance”.

Risale ormai al 2006 la definizione, fornita da Banca d’Italia, del rischio di non-conformità come “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme di legge, di regolamenti ovvero di norme di autoregolamentazione o di codici di condotta”. Ad oggi, con il proliferare della produzione normativa, si registra una situazione piuttosto complessa. Infatti, oltre all’ormai “consolidato” rilievo assunto da normative generali – quali, a titolo esemplificativo, il decreto legislativo 231/2001, la legge 190/2012 e, a livello europeo, il General Data Protection Regulation (GDPR) – il crescente utilizzo delle nuove tecnologie sta richiedendo ai compliance officers un approccio sempre più specifico, spingendoli ad approfondire questioni afferenti al mondo dell’informatica e della cybersecurity. Basti pensare alle novità introdotte dal DPCM 131/2020, relativamente al “Perimetro di Sicurezza Nazionale Cibernetica”, che ha previsto, per le categorie di soggetti ricomprese in tale Perimetro, una serie di obblighi a cui conformarsi, come la predisposizione e l’aggiornamento, con cadenza almeno annuale, dell’elenco dei beni ICT di rispettiva pertinenza e l’elaborazione di un’analisi dei rischi specifica. Inoltre, sempre sul fronte tecnologico, si può fare riferimento anche alle crescenti esigenze di bilanciare, da un lato, il ricorso a tool informatici per la gestione di determinati processi (quali, ad esempio, le segnalazioni di illeciti c.d. whistleblowing o la due diligence nell’ambito di operazioni straordinarie) e, dall’altro, le conseguenti ricadute che questi generano in materia di protezione dei dati personali e di tutela delle informazioni privilegiate.

Questo pacchetto di competenze specifiche sta definendo sempre più il compliance officer come una figura altamente specializzata e attenta ai cambiamenti che coinvolgono l’impresa, non solo su scala nazionale, ma anche a livello extra nazionale. Difatti, oltre al già menzionato GDPR, l’angolo di visuale degli operatori della compliance si sta spingendo sempre più oltre i confini nazionali, finanche analizzando normative statunitensi come il Foreign Corrupt Practices Act (FCPA), che promuove pratiche aziendali corrette a livello globale, al fine di contrastare la corruzione internazionale. In particolare, la normativa in questione assume rilevanza soprattutto per le imprese italiane facenti parte di gruppi statunitensi, le quali non solo potranno essere dirette destinatarie di sanzioni da parte dell’autorità d’oltreoceano nel caso che abbiano posto in essere atti di corruzione nel territorio USA, ma potranno altresì corresponsabilizzare la controllante statunitense che abbia omesso di vigilare sull’operato della propria controllata.

Il ventaglio di normative sin qui esaminato dimostra come, ad oggi, la compliance costituisca un terreno scivoloso, dove il rischio di non-conformità appare dietro l’angolo. A tal proposito, alle imprese è richiesta una forte proattività nel mettere in piedi un sistema di compliance il più possibile integrato, favorendo un approccio unitario e attivando forme di integrazione tra le diverse funzioni preposte al controllo delle situazioni di non conformità, con positivi effetti in termini di efficienza ed efficacia delle attività di verifica e controllo. L’integrazione dei processi di compliance implica un intreccio virtuoso tra le diverse figure dell’organizzazione a cui sono demandati compiti di verifica del rispetto di norme e le leggi che attengono alla gestione dell’impresa, cercando di identificare un soggetto, tra le diverse funzioni di controllo, a cui possa essere attribuito il ruolo di “referente unico” di un sistema di compliance integrata, che possa interagire con le diverse figure preposte al controllo della corretta applicazione delle diverse norme applicabili all’Ente stesso, coordinandone l’attività. Tale figura di referente unico, potrebbe essere individuata all’interno della funzione della Funzione Legal and Compliance ed in particolare in capo al Compliance Officer ovvero in capo al General Counsel, nel caso in cui quest’ultimo rivesta anche la qualifica di Compliance Officer. Il potenziamento di tale funzione potrebbe consentire di inserire una figura con adeguate competenze trasversali, in grado quindi di interagire in modo strutturato con le funzioni di controllo di secondo livello, per definire e impostare un adeguato sistema di integrazione delle funzioni di compliance, tra loro e rispetto alla funzione di Internal Audit. Inoltre, va considerato che un adeguato processo d’integrazione può essere avviato anche con riferimento alla identificazione e valutazione dei rischi. In particolare, le strade percorribili sembrano di due tipi: da un lato, quella di accentrare le summenzionate attività in un’unica funzione, a cui viene attribuito il compito di effettuare la valutazione dei rischi relativi ai processi aziendali con riferimento a tutti gli ambiti normativi che interessano l’Ente; dall’altro, quella di attribuire alla funzione di Risk Management il compito di definire metodologia, tassonomie e metriche comuni e lasciare che ciascuna funzione di controllo sviluppi la propria attività di Risk Assessment, in modo che i diversi documenti di valutazione dei rischi siano confrontabili e si possano identificare i rischi comuni a più ambiti di controllo.

L’esigenza di un definire i tratti essenziali di un sistema integrato di compliance è emersa, in particolare, nella survey condotta quest’anno da AITRA – Associazione Italiana Trasparenza e Anticorruzione e Fieldfisher, volta ad analizzare come si sono organizzati, o si stanno organizzando, società private ed enti pubblici per la gestione dei vari temi di compliance. Obiettivo dello studio è stato quello di comprendere, anzitutto, cosa intendono gli Enti per “compliance” e, in seconda battuta, quali sono i compiti che vengono attribuiti a tale funzione, quali sono i principali strumenti utilizzati e se un approccio di tipo integrato alla compliance rappresenti un obiettivo auspicabile, realizzato o ritenuto realizzabile.  Dall’analisi sono emersi numerosi spunti relativi, oltre che ai possibili vantaggi derivanti dall’implementazione di un siffatto sistema integrato, anche e soprattutto alle possibili difficoltà ed ai limiti connessi a tale approccio.

Preliminarmente, dall’analisi condotta, si registra che:

• un “compliance program” risulta esistere in particolare per le norme generalmente “applicabili” per la maggior parte degli Enti e dove la normativa stessa e/o le linee guida o autorità di riferimento esplicitano determinati strumenti al fine di adeguarsi efficacemente ai requisiti e obblighi della norma, quali il  D.Lgs. 231/01, il D.Lgs. 81/08 e il  GDPR Privacy;
• alcune norme, anche se ritenute applicabili e particolarmente rilevanti dalla maggior parte dei partecipanti, tuttavia non risultano dotate di un proprio “compliance program”, quali la regolamentazione specifica del settore di riferimento di una determinata azienda o Codice degli Appalti. Tale circostanza potrebbe essere riconducibile al fatto che i processi a garanzia della conformità alla normativa vengono “inglobati” in altri sistemi più ampi di compliance e quindi non sono stati indicati come sistemi di compliance autonomi (ad es. il whistleblowing potrebbe essere trattato nel più ampio sistema di compliance al D.Lgs. 231/01). In altri casi, il sistema di gestione della normativa potrebbe non essere percepito come “compliance program” (ad es. le procedure acquisti implementate in coerenza con il Codice degli appalti, istruzioni operative in relazione a regolamentazione specifica del settore);
• per le altre norme, il minor numero di presenza di un “compliance program” dedicato è correlato con il numero di aziende per le quali risulta e/o che non ritengono particolarmente rilevante tale norma applicabile (ad es. normative specifiche per le banche,).

Ad avviso dello scrivente ed anche dall’esito della survey condotta, i vantaggi della “compliance integrata” sembrano essere molteplici. In particolare, vengono segnalati una valutazione complessiva e comparativa dei rischi con conseguenti possibili sinergie metodologiche e operative, una maggiore efficienza (e conseguente anche risparmio di costi) nell’organizzazione delle funzioni e negli strumenti di controllo, una maggiore efficacia dei sistemi di controllo e una elevata rilevanza e visibilità delle funzioni di controllo all’interno dell’ente. I partecipanti alla survey, infatti, indicano di aver implementato già forme di collaborazione, o integrazione a vari livelli e di prevedere l’implementazione di progetti di compliance integrata nei prossimi anni.

Dall’altro canto, alcuni Enti e Società evidenziano l’esistenza di ancora alcuni ostacoli organizzativi che impediscono la realizzazione di una “vera” integrazione, ed in particolare: la mancanza di risorse e competenze, la deresponsabilizzazione delle singole funzioni di controllo e una mentalità “a silos” degli attori interessati, che tendono a salvaguardare e promuovere il proprio ambito di competenza. A tale ordine di ostacoli si aggiungono, altresì, alcune difficoltà di natura operativa, quali: il rischio che l’integrazione organizzativa di varie funzioni di controllo possa compromettere i requisiti di indipendenza e offuscare i ruoli e le competenze tra varie funzioni e vari livelli di controllo; il fatto che l’integrazione metodologica e operativa dell’analisi dei processi e dei rischi potrebbe portare ad una visione limitata e unilaterale dei rischi aziendali, ignorando eventualmente rischi specifici o trascurando aspetti rilevanti; il rischio che la possibilità di ridurre costi e effort a seguito di una gestione integrata della compliance potrebbe comportare una perdita di competenze specialistiche – con riferimento alle singole normative ed ai rischi specifici – e una diminuzione delle risorse dedicate alle attività di valutazione e gestione dei rischi di compliance.

Nel complesso, l’analisi condotta da AITRA e Fieldfisher ha reso possibile individuare alcuni punti essenziali, così riassumibili:

1. esistono svariate soluzioni di “organizzazione del controllo”, in termini di strutturazione, attori coinvolti, attività assegnate e interazioni tra gli attori;
2. risulta esserci discordanza su quali siano le funzioni di controllo e la loro collocazione nel sistema del controllo interno, quali siano i ruoli e le delimitazioni delle responsabilità;
3. con specifico riferimento al tema della compliance, il quadro risulta ancora più complesso, con una rilevante quantità di norme applicabili e di funzioni (sia di controllo che operative) coinvolte;
4. esistono forme di collaborazione e integrazione tra le varie funzioni di controllo, ma non riguardano tutti i temi della compliance, non coinvolgono necessariamente tutti gli attori e gli strumenti di collaborazione non coinvolgono necessariamente tutti gli attori e gli strumenti di collaborazione non risultano sempre particolarmente evoluti o impegnativi;
5. la “compliance integrata” viene vista come un approccio positivo per garantire la conformità alle norme in modo efficace ed efficiente;
6. gli Enti si augurano soprattutto un commitment dal management e, dunque, una maggiore sensibilizzazione e cultura del rischio per arrivare ad una maggiore integrazione della compliance.

Un’ulteriore riflessione ai fini della realizzazione di un sistema di “compliance integrata” attiene alle procedure ed al sistema di controllo interno: in particolare, mentre le prime indirizzano i comportamenti, all’interno dei diversi processi; il secondo consente di prevenire/intercettare comportamenti non allineati alle procedure e quindi non conformi agli indirizzi dall’Ente.

All’interno delle procedure trovano attuazione le regole di comportamento e gli strumenti di prevenzione e controllo destinati a garantire la conformità delle azioni a valori, principi e norme di riferimento.

Ogni processo dell’Ente e le relative procedure possono essere oggetto di analisi e controllo con riferimento a diversi obiettivi di compliance, perché molte sono le norme e/o le leggi che possono regolare con finalità differenti uno stesso processo. Se consideriamo, ad esempio, il processo acquisti, le relative procedure possono essere esaminate con riferimento alla qualità, alla salute e sicurezza dei lavoratori, alle norme in materia di ambiente, alle norme anticorruzione, alla privacy, alla normativa antiriciclaggio, alla normativa contabile.

Appare quindi evidente che il moltiplicarsi delle attività di controllo di conformità con standard normativi diversi (anticorruzione, antiriciclaggio, privacy...) comporta una moltiplicazione di sforzi, in termini di risorse umane - interne ed esterne all’Ente - e finanziare. A ciò si aggiunga che la ripetitività dell’azione del controllo svolta da soggetti diversi può in realtà aumentare il rischio di interpretazioni differenti di uno stesso fenomeno, per non parlare di veri e propri rischi di errore nell’analisi dei dati e delle informazioni, rispetto allo specifico tema di compliance. 

Da quanto sopra esposto appare evidente che il primo ambito su cui le diverse funzioni di controllo possono convergere con l’obiettivo di realizzare concrete forme di integrazione è rappresentato dalle procedure aziendali.

Altro ambito estremamente rilevante in cui esercitarsi al fine di avviare un adeguato processo d’integrazione è l’identificazione e valutazione dei rischi. È ormai assodato che tutte le funzioni di controllo fondano la propria azione su un approccio “risk based”. Come insegnano i manuali di studio del SCI - a tal proposito si ricordano il framework del CoSO Report e dell’ERM, da ultimo aggiornato l’ 11 novembre 2020 (il Committee of Sponsoring Organizations of the Treadway Commission ha pubblicato la sua ultima guidance, intitolata: Compliance Risk Management: Applying the Coso ERM Framework) -, l’analisi dei rischi è il punto di partenza per il disegno di qualsiasi modello di governance e controllo aziendale. Prova ne è il fatto che la definizione di qualsivoglia modello di compliance parte dall’attività di Risk Assessment (RA), cioè dal processo di identificazione e valutazione dei rischi associati all’ambito normativo di riferimento.

L’integrazione del processo di identificazione e valutazione dei rischi è quindi un altro possibile ambito in cui muoversi per fare efficienza tra le funzioni di compliance. Si tratta però di valutare in che modo si può realizzare tale obiettivo d’integrazione:

• Accentrando tale attività in un’unica funzione, a cui viene attribuito il compito di effettuare la valutazione dei rischi relativi ai processi aziendali, con riferimento a tutti gli ambiti normativi (di Regulatory Compliance) che interessano l’Ente.
• Attribuendo alla funzione di Risk Management il compito di definire metodologia, tassonomie e metriche comuni e lasciando che ciascuna funzione di controllo sviluppi la propria attività di RA, in modo che i diversi documenti di valutazione dei rischi siano confrontabili e si possano identificare i rischi comuni a più ambiti di controllo.

Entrambi gli approcci proposti presentano elementi di positività e criticità e la scelta di optare per il primo od il secondo approccio dipende molto dalla struttura e dall’organizzazione dell’Ente:

• Nel primo caso, pur concentrandosi sulla Regulatory Compliance, occorre poter impostare una funzione di Risk Management con competenze diffuse, che devono intercettare in modo trasversale tutti gli ambiti normativi che interessano i diversi processi aziendali, in grado di interloquire con i responsabili delle diverse funzioni di compliance, sia in fase di prima impostazione, sia ogni qual volta emergano esigenze di integrazione/aggiornamento. Il vantaggio, in questo caso, è la creazione di un unico documento di valutazione dei rischi omogeneo, costruito con un un’unica metodologia, sottoposto al controllo di un’unica struttura, a cui tutte le funzioni di compliance possono fare riferimento per l’analisi dei rischi di propria competenza.
• Nel secondo caso la funzione di Risk Management ha il compito di definire preliminarmente, controllare ed aggiornare la metodologia, le metriche e le tassonomie che le singole funzioni di compliance devono utilizzare per realizzare autonomamente il proprio RA e deve poi occuparsi dell’analisi dei singoli RA, al fine di identificare i rischi comuni, su cui poter impostare possibili ambiti di integrazione delle attività di controllo. Il vantaggio di questa seconda soluzione è di avere una funzione di Risk Management più snella, col rischio però di un’attività di RA più dispersiva, con risultati disomogenei e non comparabili ed una maggior difficoltà nell’identificare i rischi comuni a più ambiti di controllo.

Altro tema correlato nella definizione dei programmi di compliance è l’interconnessione tra i rischi; in quanto, il verificarsi di un evento di tale categoria (di conformità) potrebbe comportare:

• responsabilità finanziarie dirette o indirette,
• sanzioni civili per l’organizzazione e/o per i suoi dipendenti,
• sanzioni normative (come ad esempio l’interruzione temporanea delle attività) o
• altri effetti ancor più negativi per l’azienda (vedasi i rischi d’immagine o di reputazione, con impatti sulle valutazioni e scelte degli investitori e aspettative degli stakeholder di riferimento).

La mancanza di un adeguato sistema di gestione del rischio di conformità mette l’organizzazione in una situazione scoperta o di debolezza in materia di conformità, lasciando all’organizzazione un prezzo molto alto da pagare. Le analisi di mercato mostrano che l’importo speso per implementare e mantenere un sistema di controllo della conformità è molte volte inferiore alle possibili multe e sanzioni. L’esempio più lampante è quello che accaduto a Google nel 2017, quando le è stata addebitata una multa di 2,7 miliardi di dollari per aver manipolato i risultati di ricerca e violato le leggi antitrust.

In considerazione di quanto sopra, per funzionare effettivamente, un programma di compliance deve essere sviluppato attraverso un processo strutturato e integrato per rilevare, identificare e tracciare puntualmente tutti i rischi di conformità insiti all’interno dell’organizzazione.

Un ulteriore aspetto che sta assumendo ed assumerà sempre più significato rispetto all’obiettivo di integrazione delle attività di controllo è quello più operativo dello sviluppo tecnologico. La digitalizzazione dei processi e la conseguente dematerializzazione delle informazioni e della relativa documentazione, stanno trasformando sempre più rapidamente il modo di lavorare degli Enti e, conseguentemente, la modalità con cui si effettuano i relativi controlli.

Evitando di addentrarsi sugli effetti che questi cambiamenti radicali dell’organizzazione degli Enti potrebbero produrre sull’occupazione e sulle competenze professionali che saranno richieste in futuro, non si può non registrare un indubbio impatto potenziale positivo anche per l’attività di compliance, sia dal punto di vista della maggior efficienza e tempestività con cui potranno essere effettuati i controlli, sia dal punto di vista della possibilità di integrazione delle attività.

Un’ulteriore considerazione può essere fatta in relazione al periodo d’emergenza che stiamo vivendo a causa del Covid-19, che ha innescato la più grave crisi sanitaria dei nostri tempi. È evidente che, nell’attuale modello di analisi e gestione dei rischi, gli Enti abbiano sottostimato il rischio di eventi epidemiologici o pandemici inquadrandoli nella categoria dei rischi d’impresa di tipo esogeno, trasversali, a bassa probabilità di accadimento ed elevato/elevatissimo impatto, come ad esempio il rischio di calamità naturali, o eventi geopolitici. Ciò impone un ripensamento dei modelli di risk management e di verifica della compliance per tener conto anche dei significativi cambiamenti che sono stati introdotti, in brevissimo tempo, nell’organizzazione del lavoro. Le modifiche organizzative intervenute hanno di fatto accelerato alcuni processi di cambiamento dell’organizzazione del lavoro che erano già in atto e hanno aperto nuovi fronti di rischio/opportunità in materia di Salute e Sicurezza sul Lavoro (SSL), diritto del lavoro e privacy, che dovranno essere affrontati con nuove e sempre maggiori competenze, con evidenti impatti anche sulla compliance. I suddetti cambiamenti, infatti, produrranno i loro effetti anche sull’operatività delle funzioni di controllo, che dovranno tener conto della maggior flessibilità, immaterialità e indeterminatezza dei processi aziendali. Gli Enti, in uno scenario globale di così grande incertezza, per salvaguardare la propria sostenibilità nel lungo periodo, dovranno impostare modelli organizzativi e strategie di sviluppo flessibili, che permettano loro di reagire con tempestività, adattando la loro struttura ai cambiamenti repentini e non prevedibili del contesto economico e di mercato.

Conclusivamente, sarebbe auspicabile che anche il legislatore si adoperi per elaborare delle norme che incentivino gli Enti e le Società ad adottare sistemi di compliance integrata, prevendendo – dall’altro canto - dei meccanismi che aiutino le Autorità di controllo istituzionali ad aumentare i flussi di controllo in coordinamento tra loro.