La funzione di compliance: gestione della complessità aziendale e responsabilizzazione

Sulla compliance legata al difficile momento connesso all’emergenza Covid-19 abbiamo in questi mesi attivato una riflessione multilivello sulle pagine di Teknoring. Non dimentichiamo però i diversi nodi della relazione tra compliance e le altre variabili attive in ambito aziendale. La funzione di compliance all’interno della governance aziendale La vastità dei rischi aziendali e, quindi, della compliance La complessità del sistema La gestione della complessità

La funzione di compliance all’interno della governance aziendale

La corporate governance può essere definita come l’insieme delle regole, delle procedure, delle strutture organizzative e delle prassi, finalizzate a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi dell’organizzazione. Allo scopo generale – assumere decisioni consapevoli, fondate su una piena conoscenza dei rischi aziendali – si affiancano obiettivi più specifici, fra i quali quelli di compliance. Naturalmente, gli obiettivi e i rischi si legano indissolubilmente con i controlli, ovvero l’insieme di quelle protezioni da mettere in atto per prevenire, mitigare, contenere, ridurre ed eliminare gli effetti negativi generati dal concretizzarsi di eventi rischiosi, e raggiungere gli obiettivi nel modo più efficace ed efficiente possibile. In questo contesto, il Sistema dei Controlli Interni (SCI) e di gestione del rischio rappresenta sicuramente uno snodo cruciale del sistema di governance di un’impresa. Lo SCI si articola normalmente su tre livelli di controllo, ad ognuno dei quali sono associati diverse responsabilità e diversi strumenti:

• i controlli di primo livello sono quelli di natura operativa (sono i controlli procedurali, informatici, comportamentali, amministrativo-contabili, e hanno come fine quello di assicurare il corretto svolgimento delle operazioni, da un punto di vista operativo e di business, di rischio e normativo);
• i controlli di secondo livello riguardano i rischi e la compliance, che hanno l’obiettivo di definire delle metodologie di misurazione del rischio; verificare il rispetto dei limiti assegnati alle varie funzioni operative; controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati; individuare idonee procedure per la prevenzione dei rischi rilevati e richiederne l’adozione; garantire il controllo di gestione (efficienza ed efficacia delle operazioni aziendali in relazione agli obiettivi strategici);
• i controlli di terzo livello – gli audit interni – sono quelli che forniscono, attraverso valutazioni indipendenti, l’assurance, ovvero la garanzia sulla funzionalità complessiva del sistema: l’internal audit garantisce sull’efficacia della governance, della gestione dei rischi e dei controlli interni, incluso il controllo sulle precedenti due linee di difesa.

La vastità dei rischi aziendali e, quindi, della compliance

Le aziende devono quotidianamente considerare tutti i rischi nei quali possono incorrere: rischi legati non soltanto a fattori quali la sicurezza e l’ambiente (quelli più diffusi e socialmente più percepiti), ma anche all’integrità aziendale nel suo complesso. Le aziende devono, quindi, quotidianamente applicare una lunga serie di normative e leggi in materia di anti-corruzione, abuso di posizione dominante, di concorrenza sleale, finanziamento del terrorismo o riciclaggio di denaro sporco, etc etc etc: ogni giorno le aziende “devono essere conformi” a prescrizioni che mutano in continuazione.

Una veloce ricapitolazione fronte compliance

La conformità agli obblighi e alle prescrizioni è conosciuta con il termine inglese “compliance”. Questo volendo ridurre il termine compliance ai minimi termini. Tuttavia, non è possibile sintetizzare il termine compliance in poche parole: si tratta, infatti, di un settore molto vasto, che comprende in pratica tutti gli aspetti che regolano la vita di un’azienda e più in generale di qualsiasi organizzazione, riguardanti – a titolo di esempio – il codice civile e quello penale; il D lgs. 231/2001; la privacy; le norme cogenti (relative allo specifico settore di volta in volta preso in considerazione) e i regolamenti volontari; il codice etico; le condizioni contrattuali imposte dai clienti/fornitori, e via discorrendo. In generale, si può dire che per compliance si intende “conformità alle norme e alle procedure”: chi si occupa di compliance, dunque, deve assicurarsi che l’azienda di cui fa parte rispetti le norme e le procedure attraverso il controllo dei rischi e della loro prevenzione. Si tratta di una funzione:

• complementare rispetto al sistema di gestione dei rischi, e riguarda tutte le procedure amministrative, economiche e produttive;
• fondamentale all’interno di un’impresa, in quanto ha lo scopo di a) prevenire che la stessa possa andare incontro a sanzioni; b) rafforzare il rapporto con i clienti egli investitori; c) consolidare al massimo la reputazione dell’impresa, rendendola competitiva.

La complessità del sistema

Il sistema dei controlli è, dunque, un sistema complesso, integrato (nell’assetto organizzativo, amministrativo, contabile e di governo societario), coordinato nelle sue componenti, necessariamente interdipendenti, le cui caratteristiche fondamentali sono:

• la separazione dei ruoli/responsabilità e dei compiti/attività relative ad un determinato processo aziendale, tra differenti funzioni/individui;
• l’accountability di informazioni e processi, ovvero l’attribuzione della responsabilità incondizionata in capo a un soggetto (o a un gruppo di soggetti) del risultato conseguito da un’organizzazione, sulla base delle proprie capacità, abilità ed etica;
• la tracciabilità dei dati e delle informazioni, in modo da rendere attendibile, ricostruibile e valutabile un’attività o un processo.

Accountability: essere responsabile, e non soltanto “il” responsabile

Più che un termine, “accountability” è un concetto, un approccio. La traduzione in italiano che più si avvicina è quella di “responsabilizzazione”, che tuttavia non è sufficiente: occorre uno sforzo ermeneutico ulteriore per coglierne per intero il più ampio significato. In estrema sintesi, si può dire che l’accountability non ha a che fare tanto (o per lo meno: non solo) con la posizione di responsabile, ma con l’atteggiamento proattivo che deve connotarne l’operato: con accountability, infatti, si fa riferimento all’approccio responsabile che ogni organizzazione è tenuta ad adottare, prima ancora del momento in cui lo stesso verrà implementato.

In definitiva- come è stato correttamente osservato – in base al concetto di accountability “non basta più il solo contratto, non si può più scaricare la responsabilità, bisogna poter giustificare le proprie scelte ed aderire alle migliori prassi”.

La gestione della complessità

L’esperto di compliance non deve essere esperto in tutti i campi, sopra elencati in maniera non esaustiva: il compliance manager è un «direttore d’orchestra», che – attraverso specifiche metodiche – deve riuscire a fare in modo che ogni aspetto aziendale oggetto di compliance sia ricompreso in un tutt’uno armonico, la cui “somma” costituisce la compliance aziendale. Chi si occupa di compliance, in sostanza, deve:

• ragionare “per sistemi complessi” e non per settore/singolo ambito normativo/singolo processo;
• possedere, attraverso la formazione specifica e l’aggiornamento continuo, competenze multidisciplinari che lo rendano in grado di dialogare e collaborare con i diversi ruoli e livelli dell’organizzazione.

Il compliance manager deve “saper gestire la complessità”. In suo aiuto è soccorsa, nel 2014, la norma ISO 19600, che fornisce la guida per stabilire, sviluppare, attuare, valutare, mantenere e migliorare un sistema di gestione della conformità (compliance) efficace e reattivo nell’ambito di un’organizzazione.