di Biagino Costanzo, Dirigente di Azienda e socio Aidr
Compliance… questa sconosciuta!
Molte definizioni sono state accompagnate al termine. Chi l’ha applicata nella gestione operativa di una azienda, sia essa piccola, media o grande, sa che la Compliance è uno dei pochissimi, efficaci metodi, per metter ordine al modello di gestione e all’organizzazione aziendale sia pubblica che privata.
La Compliance, dal punto di vista aziendale, può definirsi come l’insieme dei processi organizzativi che regolano tutte le attività in termini di procedure, standard, best practices, disposizioni di legge e codici di condotta.
Negli ultimi anni i controlli da parte delle Autorità nazionali ed internazionali sulla conformità a leggi e regolamenti sono aumentati esponenzialmente e la mancanza di adesione alle corrette pratiche organizzative e alle conformità contrattuali, può esporre l’azienda a rischi sanzionatori, provvedimenti di natura operativa (quali ad esempio lo stop delle attività) e, non per ultimi, danni reputazionali e di immagine nei confronti dei clienti, partner e stakeholders.
I temi di maggiore impatto dal punto di vista processuale ed organizzativo che rientrano nel perimetro operativo della funzione Compliance sono:
✓ La Costituzione Italiana
✓ Governance societaria
✓ D.lgs. 231/01 sulla responsabilità amministrativa delle persone giuridiche e delle associazioni
✓ D.lgs. 81/2008 sulla sicurezza sul posto di lavoro
✓ Risk management
✓ Privacy e protezione dei dati personali
✓ Sicurezza delle informazioni
✓ Procedure di controllo – Audit interni ed esterni
✓ Certificazioni nazionali ed internazionali – Audit dei Sistemi di gestione
✓ Gestione della continuità operativa
✓ Antiriciclaggio
✓ Codice etico
È facile intuire che il contesto in cui opera la Compliance racchiuda l’etica aziendale, il rispetto delle normative, la gestione del rischio, l’attendibilità ed il successo dell’azienda stessa.
La trasversalità dei temi trattati rende imprescindibile la presenza di questa funzione come supporto all’operatività aziendale e necessaria per l’allineamento del business alla normativa, definendo il perimetro e le modalità all’interno dei quali il business – qualunque esso sia – può essere vincente.
È essenziale considerare la Compliance un bene primario come parte integrante della cultura e della politica aziendale: questo è possibile attraverso l’implementazione di un costante dialogo e di un flusso informativo tra le diverse funzioni organizzative.
Inoltre, la presenza di una funzione Compliance strutturata ed efficiente, è l’espressione formale del Management riguardo alla legalità ed agli obiettivi che si intendono raggiungere.
Dal punto di vista pratico, per rispondere alle esigenze di conformità, è fondamentale mettere in campo tutti gli strumenti che permettano di rispettare le regole del gioco, innescando una sorta di virtuosismo nell’aderire alle best practices, rendendo così competitiva l’azienda sul mercato.
Gli strumenti di cui si avvale la Compliance sono, dunque, un’approfondita analisi del rischio, lo studio attento delle criticità per attuare una concreta prevenzione, l’adozione di policies e procedure per indirizzare eventuali azioni di mitigazione del rischio stesso, la definizione delle responsabilità e delle tempistiche in gioco, la formazione del personale e la scelta di attuare il miglioramento continuo come processo quotidiano.
I macro-rischi della non-Compliance
Il beneficio della conformità aziendale, ovvero della sua competitività, non è quantitativamente palese. Tuttavia si può certamente affermare il contrario: quando a manifestarsi è la non-Compliance, le conseguenze sono disastrose.
Proprio in questi giorni, dal 27 al 30 novembre si è svolto al teatro Ariston di Sanremo il World Protection Forum™ (WPF), primo, autorevole, qualificato forum permanente dedicato alla protezione dell’essere umano in ogni suo aspetto e che ha visto la prestigiosa partecipazione di ospiti esperti di livello nazionale ed internazionale. Dall’idea dei fondatori della prima Agenzia di Risk-Rating al mondo, il World Protection Forum™ (WPF) ha come obiettivo quello di approfondire la “scienza del rischio” e di divulgare su scala globale le scoperte in ambito di Protezione dal Rischio per le Persone, Aziende e Organizzazioni.
È bene analizzare alcuni dei macro-rischi cui si espone un’organizzazione quando sceglie di disinteressarsi alla Compliance.
Rischi sanzionatori
Le sanzioni per inadempienze dovute alla non conformità possono assumere carattere amministrativo o penale: il D.lgs. 231/01 ha introdotto nell’ordinamento giuridico una forma di responsabilità amministrativa (che, attenzione, di fatto è penale) a carico di società ed associazioni forniti di personalità giuridica, per attività illecite derivanti da reati commessi da persone fisiche che operano in nome e per conto di queste
È prevedibile che, in tal caso, le organizzazioni siano chiamate a rispondere su comportamenti individuali e collettivi che abbiano costituito illegalità.
La cronaca presenta bollettini, ormai quotidiani, di piccole, medie e grandi aziende che hanno scelto l’illecito come fondamento culturale ed i conseguenti danni hanno riguardato, non solo le aziende coinvolte direttamente ma, purtroppo nei casi peggiori, anche gli utenti o i collaboratori delle stesse.
Innumerevoli sono i casi in cui la non conformità legata alla sicurezza sui luoghi di lavoro, abbia creato danni inestimabili per i lavoratori e per le famiglie.
La scomoda realtà del lavoro in nero, in cui parlare di non-conforme è un eufemismo, ci porta direttamente al livello successivo, ovvero quello del “no-contratto” che tradisce il primo e più profondo dei temi appartenenti alla Compliance: la Costituzione italiana.
Più recenti, ma non meno importanti, i rischi legati al trattamento dei dati.
Il diritto alla tutela dei dati personali, unito con altri fondamentali – primo fra tutti, appunto, la trasparenza – ha un significativo impatto in termini organizzativi ed anche informatici: il crescente processo di digitalizzazione aziendale non
è trascurabile in termini di conformità normativa in ambito di privacy, sicurezza dei dati e delle informazioni.
Il GDPR stabilisce chiaramente le regole e le sanzioni per inosservanza di queste possono essere di natura economica (ed arrivare fino a 20 milioni di euro oppure fino al 4% del fatturato totale annuo) o, in alcuni casi, prevedere la reclusione dei responsabili (come succede, ad esempio, con l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala). Quindi, in questo momento storico assume particolare importanza e merita un occhio di riguardo.
Rischi operativo-strategici
Una condizione di non conformità può interessare il core business e l’operatività di un’azienda.
La necessità di adeguarsi costantemente a quanto richiesto dalle disposizioni di legge per quanto riguarda l’efficienza funzionale e le modalità produttive rappresenta uno sforzo economico ed organizzativo sicuramente importante per i livelli più alti delle organizzazioni, ma il rovescio della medaglia può comportare la chiusura o la sospensione di attività e/o di linee di business specifiche.
La mancanza di controlli interni può essere considerato letale anche dal punto di vista strategico, intaccando la possibilità, ad esempio, di attuare operazioni societarie di crescita, vendita o acquisizione, in maniera irreversibile.
Rischi economici
Si è già accennato al danno economico derivante da azioni sanzionatorie da parte delle autorità e dalla scelta di non regolamentare il proprio business.
A questi, bisogna aggiungere l’esoso costo del mettere in atto le azioni correttive necessarie per ottemperare a non conformità riscontrate da terze parti: in questo caso, molto spesso, ci si trova a dover sostenere importi e tempistiche significativi.
Quest’ultimo elemento è facilmente controllabile scegliendo il miglioramento continuo come filosofia aziendale.
A seguito della sopravvenuta emergenza dovuta al Covid-19, da una prima stima dell’impatto attuale del coronavirus rispetto al valore del trademark fissato al 1° gennaio 2020, emerge che i 500 principali brand del mondo potrebbero perdere addirittura fino a 1 trilione di euro, cioè un miliardo di miliardi, di valore originato da immagine e reputazione (fonte Markup). Dalla nuova classifica dei 100 principali brand europei, ordinati per valore originato da immagine e reputazione, emerge che complessivamente l’impatto negativo sul trademark value è stato solo del 13%, mentre i medesimi brand hanno perso circa il 25% di valore d’impresa.
Rischi reputazionali
La definizione più corretta della reputazione aziendale è strettamente connessa alle aspettative, percezioni ed opinioni rispetto alle azioni di un’organizzazione che ne determinano l’attrattività generale agli occhi dei suoi interlocutori (dipendenti, clienti, fornitori, investitori etc. etc.).
La reputazione è da considerarsi il bene intangibile più importante per l’organizzazione: è intrinsecamente la custode della storia dell’azienda ed è il giudice impassibile delle scelte e dell’approccio gestionale al mercato. Proprio per questo motivo va tutelata.
La Compliance ha un ruolo determinante nel consolidare l’immagine aziendale e nel garantire la trasparenza e la credibilità necessarie ad aumentarne la competitività sul medio-lungo periodo.
Quando un’azienda è certificata, ad esempio, si presenta sul mercato con un’immagine migliore.
L’efficacia della struttura dedicata alla conformità dà una stima quantitativa della serietà e competenza di un’azienda e ne costruisce il valore. Compliance significa anche responsabilità sociale.
Da una ricerca “The State of Corporate Reputation in 2020: Everything Matters Now”, condotta da Weber Shandwick, agenzia di comunicazione e marketing, in partnership con KRC Research, emerge che in media, i manager di tutto il mondo attribuiscono il 63% del valore di mercato dell’azienda alla reputazione. L’indagine, condotta online da Weber Shandwick, è stata rivolta a 2.227 dirigenti di tutto il mondo edi società di grandi dimensioni per fatturato, operanti in 22 differenti mercati. Oltre alla reputazione, la ricerca ha preso in considerazione anche la cultura, l’attivismo dei dipendenti, le crisi e i rischi.
È evidente così una diretta proporzionalità tra il rispetto delle regole, l’affidabilità ed il successo di un’organizzazione. La Compliance è profondamente correlata alle performance aziendali, siano queste finanziarie, strategiche e oggi anche digitali.
Infatti la sempre più pressante, giusta e necessaria richiesta di una massiccia diffusione del digitale sul territorio nazionale e in tutte le attività lavorative, incrementatasi con l’emergenza sanitaria attuale (dallo smart working, alla DAD, ai webinar, alle conference call), porta con sé la capacità di tutelare la qualità dei servizi e di conseguenza evitare che il digitale possa divenire anche vasta prateria di hacker, di haters che strumentalmente inondano i sistemi di spazzatura cibernetica, con il conseguente calo reputazionale. Per non parlare dei tanti cyber attack, che mettono in pericolo il sistema stesso nel suo complesso, con i relativi rischi di danni alle infrastrutture pubbliche e private, di furti di segreti industriali, di dati sensibili o semplicemente, ma non meno gravi, alla privacy di ognuno.
Scegliere di aderire alla legalità sempre e comunque, riduce drasticamente i rischi operativi, reputazionali e quindi economici ed è essenziale per lo sviluppo e la crescita di una azienda o di una organizzazione.
Quindi la Compliance è “IL“ metodo. D’altronde, il termine deriva dal greco antico e precisamente dall’unione delle parole “meta” (in direzione di, in cerca di…) e “òdos “(via, strada). Adottare un metodo, quindi, vuol dire scegliere una strada e seguirla.
La metafora è chiara, potente e molto attuale, sulla mappa dei problemi quotidiani siamo tutti in cerca di un tracciato che ci conduca alle soluzioni. Ognuno ha il suo di metodo ma la vera sfida è riuscire a sceglierne uno sano, valido e sicuro.