Per rispondere alle tante domande (e per sfatare qualche mito) che circolano sulla compliance, abbiamo intervistato l’Ing. Alessandro Cerboni, vicepresidente di Assocompliance.
Partiamo “dalla fine”: che cos’è Assocompliance?
Assocompliance è un’associazione, nata nel 2016, che riunisce professionisti e aziende che operano nel mondo della Compliance: essenzialmente Compliance Manager (alto livello) o come Compliance Officer (medio livello).
Lo scopo è quello di diffondere la cultura della Compliance (anche nell’ottica delle linee guida dettate dalla norma UNI ISO 19600:2016) e di qualificare i professionisti che operano in questo ambito, curando la diffusione e la conoscenza della disciplina anche verso le istituzioni.
È un’associazione riconosciuta dal Ministero dello Sviluppo Economico per effetto della L. n.4 del 2013, che disciplina le professioni non organizzate in ordini o collegi (come quello degli avvocati o dei geometri).
Assocompliance ha ottenuto dal Mise il riconoscimento di due principali tipologie di profilo per i propri soci: profilo junior e senior;
Quali sono le differenze fra i due profili?
Il profilo junior è quello dei professionisti più giovani, che hanno completato da poco gli studi o sono agli inizi della propria carriera, e sono interessati ad acquisire gli strumenti per cominciare a muoversi nell’ambito della compliance.
Il profilo senior, invece, è costituito da manager e professionisti della compliance, che pur avendo anni di carriera alle spalle in settori contigui alla compliance sentono la necessità di sistematizzare le proprie competenze per muoversi più agevolmente in un settore in continua evoluzione.
Ci spieghi in poche parole che cos’è la compliance
Sintetizzare la compliance in poche parole è impresa ardua. È un settore molto vasto, che comprende in pratica tutti gli aspetti che regolano la vita di un’azienda e più in generale di qualsiasi organizzazione riguardanti, a titolo di esempio:
il codice civile e quello penale;
il D lgs. 231/2001;
la privacy;
le norme cogenti (relative allo specifico settore di volta in volta preso in considerazione) e i regolamenti volontari;
il codice etico;
le condizioni contrattuali imposte dai clienti/fornitori, e via discorrendo.
Come fa il compliance manager a gestire tutta questa mole di lavoro?
Il manager o l’esperto di compliance non deve essere esperto in tutti i campi, che ho elencato in maniera non esaustiva. Il compliance manager è un ‘direttore d’orchestra’, che – attraverso specifiche metodiche – deve riuscire a fare in modo che ogni aspetto aziendale oggetto di compliance sia ricompreso in un tutt’uno armonico, la cui ‘somma’ costituisce la compliance aziendale.
Chi si occupa di compliance deve ragionare ‘per sistemi complessi’ e non per settore/singolo ambito normativo/singolo processo. Deve possedere, attraverso la formazione specifica e l’aggiornamento continuo, competenze multidisciplinari che lo rendano in grado di dialogare e collaborare con i diversi ruoli e livelli dell’organizzazione.
Il compliance manager deve ‘saper gestire la complessità’.
Quando è nata la compliance?
La compliance come disciplina nasce nel momento in cui la funzione compliance diventa una figura obbligatoria nei settori bancario, finanziario e assicurativo.
Siamo nel 2005, e il Comitato di Basilea per la vigilanza bancaria intendeva introdurre una svolta al sistema di governo d’impresa o governo societario delle banche. Dopo le esperienze dei clamorosi fallimenti in USA come il caso Enron, e successivamente anche con gli scandali bancari, ci si rese conto che i modelli di governance sino ad allora adottati erano inadatti per garantire un controllo efficace della vita delle imprese e, conseguentemente, degli effetti sulla società.
Si decise quindi per l’introduzione della Compliance e della figura del Compliance Manager come cardine del sistema dei controlli di una banca. Scelta frutto dell’esperienza maturata dopo l’introduzione, già da alcuni anni, negli Stati Uniti dei modelli della Sarbanese-Oxley Act o SOX e del Framework COSO di gestione dei rischi e dei controlli. Ci si era resi conto, infatti, del valore centrale del rischio di non aderenza alle norme, o di compliance.
Cosa si intende per rischio compliance?
È il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di:
violazioni di norme imperative o mandatory (di legge o di regolamenti);
di norme autoregolamentazione o voluntary (es. statuti, codici di condotta, codici di autodisciplina, norme di settore);
di comportamenti scorretti (social and human behavioral).
Fatte questa premesse, come si può (cercare di) evitare il rischio compliance?
Attraverso un triplice sistema di controlli, da effettuare secondo una precisa logica. Ai controlli eseguiti nell’ambito dell’internal audit e del risk management vengono aggiunti, per la prima volta, quelli in ambito compliance.
Qual è la sequenza di questa – come chiamarla? – “difesa a tre”?
Chi gestisce la funzione compliance all’interno dell’organizzazione lavora ex ante, individuando i fattori di rischio e definendo i controlli da effettuare insieme a chi si occupa di internal audit.
In sede di internal audit si effettua il controllo operativo ex post. Il suo perimetro di azione è l’intera organizzazione sulla base di quanto evidenziato in sede di compliance.
Segue il risk management, nel quale si effettua una valutazione quantitativa e dunque operativa per singolo fattore di rischio, fornendo le soluzioni la cui efficacia dovrà di nuovo essere sottoposta al vaglio degli altri due livelli, riavviando di fatto il ciclo.
La compliance, dunque, è una disciplina giovane: esistono norme che la disciplinano? E a quali tipi di organizzazione conviene essere compliance?
Il quadro normativo per la compliance è costituito dalla norma internazionale ISO 19600 (l’ultima versione è quella del 2016). Si tratta di una norma che ha il rango di framework, che non ha la caratteristica di essere ‘operativa’, dal momento che fissa dei principî e delle linee guida per una compliance efficace.
Una norma quadro, in sostanza, rispetto ad altre, più specifiche (per esempio quelle relative alla gestione dell’ambiente o della sicurezza) che potremmo definire ‘norme silos’.
Ecco, il compito della compliance è quello di armonizzare tutti questi silos in un tutt’uno, ragionando, come detto precedentemente, in termini di sistema complesso e non di singolo processo. Si tratta di un compito che richiede il lavoro in team di esperti in varie discipline.
Quando si parla di sistemi di gestione, una delle obiezioni che vengono fatte è che, al di là delle belle parole, il tutto si riduca, di fatto, soltanto alla “creazione di carta”: un sistema formale e poco più…
Purtroppo anche il settore della compliance non fa eccezione: si tratta di un problema culturale.
Il prossimo passo da fare sarà quello di superare questo preconcetto formalistico, per il quale la compliance è soltanto un sistema formale di norme, adempimenti e report che si pone in un mondo parallelo e non comunicante con quello della gestione concreta dell’organizzazione.
Si tratta di un approccio che potremmo definire riduzionista, che sicuramente in alcuni casi sarà stato adottato da realtà che non hanno capito che così facendo non si mette realmente l’organizzazione al riparo dal verificarsi di eventi, prodotti da carenze più o meno gravi nel sistema dei controlli interni, capaci di causare danni incalcolabili, fino ad intaccarne per sempre la reputazione.
Basti pensare agli scandali legati a organizzazioni con gravi carenze nei controlli interni. Il crack di Parmalat del 2003 (caso scuola di carenze nei controlli finanziari); l’incidente alla ThyssenKrupp di Torino, che causò nel 2007 la morte di 7 operai, emblema di gravissime carenze nel sistema dei controlli sulla sicurezza. Da ultimo il dissesto della Banca Popolare di Bari.
Va da sé che un sistema formale ma non sostanziale non è conveniente.
Quindi, si potrebbe correttamente parlare di accountability…
Esatto. Se la compliance diventa sostanziale, e non soltanto di facciata, l’organizzazione si posiziona sulla c.d. accountability, termine che indica la consapevolezza da parte dell’organizzazione di tutti i fattori di rischio, che porta con sé la capacità di saper attuare una conduzione sana e prudente. Ciò vuol dire che ogni elemento dell’organizzazione agisce con responsabilità e coscienza in ogni comportamento.
In considerazione della sua importanza, non solo a livello economico-finanziario, ma anche sociale, non sarebbe auspicabile l’estensione dell’obbligatorietà della funzione compliance?
Alcune recenti riforme vanno in quella direzione.
Con le recenti modifiche al Codice Civile, ade esempio, viene di fatto resa obbligatoria la funzione di compliance in molti ambiti organizzativi dove prima non era obbligatoria, ma ‘soltanto’ altamente auspicabile.
Il nuovo Codice della Crisi d’Impresa, infatti, introduce una sostanziale riforma dell’art. 2086 del c.c. – rubricato ora Gestione dell’impresa – specificando che “l’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”.
In sostanza, si introduce per la prima volta un vero e proprio obbligo, per l’imprenditore, di adottare degli assetti organizzativi, amministrativi e contabili finalizzati a monitorare, ed eventualmente, rilevare situazioni patologiche che potrebbero sfociare anche nella crisi dell’impresa.
Questi doveri riguardano l’imprenditore in quanto tale e non l’imprenditore in quanto debitore; è un dovere dell’imprenditore – o dell’organo amministrativo – verso l’impresa e, indirettamente, verso gli stakeholders (ivi compresi i debitori).
Suona tutto molto interessante: ci dica, per concludere, come si può “entrare” a far parte della famiglia Assocompliance?
Occorre innanzitutto fare domanda di adesione.
Associarsi significa aver maturato il diritto di iscriversi nell’Albo degli associati. Esistono diverse tipologie di socio qualificato, e diversi percorsi formativi per conseguire i requisiti necessari per associarsi.
Se il professionista, con la propria precedente attività, ha già acquisito delle competenze in vari settori contigui alla compliance (ad esempio un avvocato già specializzato in diritto penale d’impresa), le esperienze maturate vengono esaminate dal comitato tecnico-scientifico dell’Associazione, che suggerirà al professionista come sistematizzarle in quadro coerente e completo.
Questo passaggio è importante perché in tal modo il professionista acquisisce consapevolezza circa una serie di strumenti e di competenze, magari marginali se considerate nel contesto del settore professionale di provenienza, potenzialmente in grado di dargli accesso ad un nuovo settore di attività che offre interessanti prospettive lavorative. In questo caso, è probabile che venga consigliato al professionista di approfondire per suo conto una serie di materie, oppure la frequentazione di un breve corso formativo tenuto da enti accreditati che offrono corsi strutturati ad hoc per l’Associazione.
Se il professionista è più giovane e, dunque, ha meno anni di esperienza alle spalle, per iscriversi all’Associazione viene richiesta la frequentazione di corsi formativi a più ampio respiro.
A seconda della durata e del livello di esperienze professionali già maturate, è possibile associarsi come socio Ordinario oppure Junior.
Al momento, esistono corsi di alta formazione già riconosciuti dalla Regione Toscana, mentre altri sono riconosciuti dalla Regione Lombardia.
Chi si diploma ha un titolo riconosciuto sia ai fini dell’Associazione Assocompliance, sia valevole a livello regionale, peraltro riconosciuto anche in sede europea. In generale, le discipline su cui è necessario formarsi sono Scienza dei sistemi complessi, fondamenti di Neurologia comportamentale, e naturalmente una base giuridica e organizzativa.
