Compliance aziendale: un metodo di tutela strategico di Biagino Costanzo, Dirigente di Azienda e socio Aidr
Compliance… questa sconosciuta!
Molte definizioni sono state accompagnate al termine. Chi l’ha
applicata nella gestione operativa di una azienda, sia essa piccola,
media o grande, sa che la Compliance è uno dei pochissimi, efficaci
metodi, per metter ordine al modello di gestione e all’organizzazione
aziendale sia pubblica che privata.
La Compliance, dal punto di vista aziendale, può definirsi come
l’insieme dei processi organizzativi che regolano tutte le attività in
termini di procedure, standard, best practices, disposizioni di legge
e codici di condotta.
Negli ultimi anni i controlli da parte delle Autorità nazionali ed
internazionali sulla conformità a leggi e regolamenti sono aumentati
esponenzialmente e la mancanza di adesione alle corrette pratiche
organizzative e alle conformità contrattuali, può esporre l’azienda a
rischi sanzionatori, provvedimenti di natura operativa (quali ad
esempio lo stop delle attività) e, non per ultimi, danni reputazionali
e di immagine nei confronti dei clienti, partner e stakeholders.
I temi di maggiore impatto dal punto di vista processuale ed
organizzativo che rientrano nel perimetro operativo della funzione
Compliance sono:
– La Costituzione Italiana
– Governance societaria
– D.lgs. 231/01 sulla responsabilità amministrativa delle persone
giuridiche e delle associazioni
– D.lgs. 81/2008 sulla sicurezza sul posto di lavoro
– Risk management
– Privacy e protezione dei dati personali
– – Sicurezza delle informazioni
– Procedure di controllo – Audit interni ed esterni
– Certificazioni nazionali ed internazionali – Audit dei Sistemi di gestione
– Gestione della continuità operativa
– Antiriciclaggio
– Codice etico
È facile intuire che il contesto in cui opera la Compliance racchiuda
l’etica aziendale, il rispetto delle normative, la gestione del
rischio, l’attendibilità ed il successo dell’azienda stessa.
La trasversalità dei temi trattati rende imprescindibile la presenza
di questa funzione come supporto all’operatività aziendale e
necessaria per l’allineamento del business alla normativa, definendo
il perimetro e le modalità all’interno dei quali il business –
qualunque esso sia – può essere vincente.
È essenziale considerare la Compliance un bene primario come parte
integrante della cultura e della politica aziendale: questo è
possibile attraverso l’implementazione di un costante dialogo e di un
flusso informativo tra le diverse funzioni organizzative.
Inoltre, la presenza di una funzione Compliance strutturata ed
efficiente, è l’espressione formale del Management riguardo alla
legalità ed agli obiettivi che si intendono raggiungere.
Dal punto di vista pratico, per rispondere alle esigenze di
conformità, è fondamentale mettere in campo tutti gli strumenti che
permettano di rispettare le regole del gioco, innescando una sorta di
virtuosismo nell’aderire alle best practices, rendendo così
competitiva l’azienda sul mercato.
Gli strumenti di cui si avvale la Compliance sono, dunque,
un’approfondita analisi del rischio, lo studio attento delle criticità
per attuare una concreta prevenzione, l’adozione di policies e
procedure per indirizzare eventuali azioni di mitigazione del rischio
stesso, la definizione delle responsabilità e delle tempistiche in
gioco, la formazione del personale e la scelta di attuare il
miglioramento continuo come processo quotidiano.
I macro-rischi della non-Compliance
Il beneficio della conformità aziendale, ovvero della sua
competitività, non è quantitativamente palese. Tuttavia si può
certamente affermare il contrario: quando a manifestarsi è la
non-Compliance, le conseguenze sono disastrose.
Proprio in questi giorni, dal 27 al 30 novembre si è svolto al teatro
Ariston di Sanremo il World Protection Forum™ (WPF), primo,
autorevole, qualificato forum permanente dedicato alla protezione
dell’essere umano in ogni suo aspetto e che ha visto la prestigiosa
partecipazione di ospiti esperti di livello nazionale ed
internazionale. Dall’idea dei fondatori della prima Agenzia di
Risk-Rating al mondo, il World Protection Forum™ (WPF) ha come
obiettivo quello di approfondire la “scienza del rischio” e
di divulgare su scala globale le scoperte in ambito di Protezione dal
Rischio per le Persone, Aziende e Organizzazioni.
È bene analizzare alcuni dei macro-rischi cui si espone
un’organizzazione quando sceglie di disinteressarsi alla Compliance.
Rischi sanzionatori
Le sanzioni per inadempienze dovute alla non conformità possono
assumere carattere amministrativo o penale: il D.lgs. 231/01 ha
introdotto nell’ordinamento giuridico una forma di responsabilità
amministrativa (che, attenzione, di fatto è penale) a carico di
società ed associazioni forniti di personalità giuridica, per attività
illecite derivanti da reati commessi da persone fisiche che operano in
nome e per conto di queste
È prevedibile che, in tal caso, le organizzazioni siano chiamate a
rispondere su comportamenti individuali e collettivi che abbiano
costituito illegalità.
La cronaca presenta bollettini, ormai quotidiani, di piccole, medie e
grandi aziende che hanno scelto l’illecito come fondamento culturale
ed i conseguenti danni hanno riguardato, non solo le aziende coinvolte
direttamente ma, purtroppo nei casi peggiori, anche gli utenti o i
collaboratori delle stesse.
Innumerevoli sono i casi in cui la non conformità legata alla
sicurezza sui luoghi di lavoro, abbia creato danni inestimabili per i
lavoratori e per le famiglie.
La scomoda realtà del lavoro in nero, in cui parlare di non-conforme è
un eufemismo, ci porta direttamente al livello successivo, ovvero
quello del “no-contratto” che tradisce il primo e più profondo dei
temi appartenenti alla Compliance: la Costituzione italiana.
Più recenti, ma non meno importanti, i rischi legati al trattamento dei dati.
Il diritto alla tutela dei dati personali, unito con altri
fondamentali – primo fra tutti, appunto, la trasparenza – ha un
significativo impatto in termini organizzativi ed anche informatici:
il crescente processo di digitalizzazione aziendale non è trascurabile
in termini di conformità normativa in ambito di privacy, sicurezza dei
dati e delle informazioni.
Il GDPR stabilisce chiaramente le regole e le sanzioni per
inosservanza di queste possono essere di natura economica (ed arrivare
fino a 20 milioni di euro oppure fino al 4% del fatturato totale
annuo) o, in alcuni casi, prevedere la reclusione dei responsabili
(come succede, ad esempio, con l’acquisizione fraudolenta di dati
personali oggetto di trattamento su larga scala). Quindi, in questo
momento storico assume particolare importanza e merita un occhio di
riguardo.
Rischi operativo-strategici
Una condizione di non conformità può interessare il core business e
l’operatività di un’azienda.
La necessità di adeguarsi costantemente a quanto richiesto dalle
disposizioni di legge per quanto riguarda l’efficienza funzionale e le
modalità produttive rappresenta uno sforzo economico ed organizzativo
sicuramente importante per i livelli più alti delle organizzazioni, ma
il rovescio della medaglia può comportare la chiusura o la sospensione
di attività e/o di linee di business specifiche.
La mancanza di controlli interni può essere considerato letale anche
dal punto di vista strategico, intaccando la possibilità, ad esempio,
di attuare operazioni societarie di crescita, vendita o acquisizione,
in maniera irreversibile.
Rischi economici
Si è già accennato al danno economico derivante da azioni
sanzionatorie da parte delle autorità e dalla scelta di non
regolamentare il proprio business.
A questi, bisogna aggiungere l’esoso costo del mettere in atto le
azioni correttive necessarie per ottemperare a non conformità
riscontrate da terze parti: in questo caso, molto spesso, ci si trova
a dover sostenere importi e tempistiche significativi.
Quest’ultimo elemento è facilmente controllabile scegliendo il
miglioramento continuo come filosofia aziendale.
A seguito della sopravvenuta emergenza dovuta al Covid-19, da una
prima stima dell’impatto attuale del coronavirus rispetto al valore
del trademark fissato al 1° gennaio 2020, emerge che i 500 principali
brand del mondo potrebbero perdere addirittura fino a 1 trilione di
euro, cioè un miliardo di miliardi, di valore originato da immagine e
reputazione (fonte Markup). Dalla nuova classifica dei 100 principali
brand europei, ordinati per valore originato da immagine e
reputazione, emerge che complessivamente l’impatto negativo sul
trademark value è stato solo del 13%, mentre i medesimi brand hanno
perso circa il 25% di valore d’impresa.
Rischi reputazionali
La definizione più corretta della reputazione aziendale è strettamente
connessa alle aspettative, percezioni ed opinioni rispetto alle azioni
di un’organizzazione che ne determinano l’attrattività generale agli
occhi dei suoi interlocutori (dipendenti, clienti, fornitori,
investitori etc. etc.).
La reputazione è da considerarsi il bene intangibile più importante
per l’organizzazione: è intrinsecamente la custode della storia
dell’azienda ed è il giudice impassibile delle scelte e dell’approccio
gestionale al mercato. Proprio per questo motivo va tutelata.
La Compliance ha un ruolo determinante nel consolidare l’immagine
aziendale e nel garantire la trasparenza e la credibilità necessarie
ad aumentarne la competitività sul medio-lungo periodo.
Quando un’azienda è certificata, ad esempio, si presenta sul mercato
con un’immagine migliore.
L’efficacia della struttura dedicata alla conformità dà una stima
quantitativa della serietà e competenza di un’azienda e ne costruisce
il valore. Compliance significa anche responsabilità sociale.
Da una ricerca “The State of Corporate Reputation in 2020: Everything
Matters Now”, condotta da Weber Shandwick, agenzia di comunicazione e
marketing, in partnership con KRC Research, emerge che in media, i
manager di tutto il mondo attribuiscono il 63% del valore di mercato
dell’azienda alla reputazione. L’indagine, condotta online da Weber
Shandwick, è stata rivolta a 2.227 dirigenti di tutto il mondo edi
società di grandi dimensioni per fatturato, operanti in 22 differenti
mercati. Oltre alla reputazione, la ricerca ha preso in considerazione
anche la cultura, l’attivismo dei dipendenti, le crisi e i rischi.
È evidente così una diretta proporzionalità tra il rispetto delle
regole, l’affidabilità ed il successo di un’organizzazione. La
Compliance è profondamente correlata alle performance aziendali, siano
queste finanziarie, strategiche e oggi anche digitali.
Infatti la sempre più pressante, giusta e necessaria richiesta di una
massiccia diffusione del digitale sul territorio nazionale e in tutte
le attività lavorative, incrementatasi con l’emergenza sanitaria
attuale (dallo smart working, alla DAD, ai webinar, alle conference
call), porta con sé la capacità di tutelare la qualità dei servizi e
di conseguenza evitare che il digitale possa divenire anche vasta
prateria di hacker, di haters che strumentalmente inondano i sistemi
di spazzatura cibernetica, con il conseguente calo reputazionale. Per
non parlare dei tanti cyber attack, che mettono in pericolo il sistema
stesso nel suo complesso, con i relativi rischi di danni alle
infrastrutture pubbliche e private, di furti di segreti industriali,
di dati sensibili o semplicemente, ma non meno gravi, alla privacy di
ognuno.
Scegliere di aderire alla legalità sempre e comunque, riduce
drasticamente i rischi operativi, reputazionali e quindi economici ed
è essenziale per lo sviluppo e la crescita di una azienda o di una
organizzazione.
Quindi la Compliance è “IL“ metodo. D’altronde, il termine deriva dal
greco antico e precisamente dall’unione delle parole “meta” (in
direzione di, in cerca di…) e “òdos “(via, strada). Adottare un
metodo, quindi, vuol dire scegliere una strada e seguirla.
La metafora è chiara, potente e molto attuale, sulla mappa dei
problemi quotidiani siamo tutti in cerca di un tracciato che ci
conduca alle soluzioni. Ognuno ha il suo di metodo ma la vera sfida è
riuscire a sceglierne uno sano, valido e sicuro.
