Compliance Sistema Integrato

Modelli di Compliance tra nuove norme e necessità di integrazione

31 August 2021

di Marco AVANZI

La necessità di un cambiamento verso l’integrazione dei Compliance Management System

Sono molteplici gli spunti emersi negli ultimi tempi che introducendo modifiche normative e applicazioni più estese di obblighi per le imprese manifestano una costante evoluzione e ampliamento dei doveri di conformità per le organizzazioni.

Dall’altra parte gli sviluppi normativi e giurisprudenziali manifestano la necessità di considerare in modo sempre più integrato i cc.dd. CMS (Compliance Management System) con altri modelli di gestione aziendale e con processi di governo del rischio apparentemente non affini al mondo della conformità normativa.

Da questi due profili è evidente sempre di più per gli operatori tecnici e per le organizzazioni la necessità di considerare in modo concreto i due volti della Compliance, tra esigenze di costante aggiornamento ed esigenze di integrazione.

Al fine di evitare che la considerazione dei precetti normativi si limiti ad un mero esercizio burocratico i tecnici della materia devono ricondurre ad un punto di incontro l’analisi tecnico normativa con l’efficienza di modelli di gestione che permettono il raggiungimento degli scopi delle norme.

Alcuni spunti di riflessione possono essere utili per cogliere il fil rouge che ormai lega tematiche diverse anche ai profili dei CMS in modo integrato.

Affrontare un ragionamento maggiormente olistico rispetto a quello usualmente adottato, diventa prioritario al fine di evitare una considerazione dei rischi disaggregata con potenziali incongruenze gestorie o aggravio di costi e inefficienza o addirittura mancando la valutazione di alcuni profili di Compliance.

Qui di seguito si propongono alcuni temi e riflessioni, sicuramente non esaustivi, che possono risultare utili per una organizzazione per iniziare a considerare in modo maggiormente connesso tematiche usualmente gestite in modo separato se non isolato e ragionare sull’integrazione di alcuni profili all’interno dei CMS e in generale della gestione dei rischi.

Tutte le organizzazioni dovranno affrontare queste tematiche data la correlazione tra PMI e grandi organizzazioni all’interno delle supply chain e delle catene di fornitura, seppur in modo diverso e adeguato alle loro dimensioni.

Ma perché affrontare questo cambio di passo e orientarsi verso questo approccio?

Le motivazioni sono molteplici ma sicuramente:

  • il tema della Compliance sta evolvendo abbracciando tematiche di soft-law e temi etici e sociali che sebbene ad oggi, non in tutte le giurisdizioni, non costituiscono fonte diretta di responsabilità del vertice, ci si sta orientando verso una accountability del top management per le politiche etiche e sociali dell’impresa che in certi casi, possono fondare anche responsabilità patrimoniali della società stessa;
  • in alcuni Stati si affermano tematiche relative all’enforcement in caso di violazioni di codici etici o di condotta, sia nell’ambito degli illeciti disciplinari di soggetti singoli sia in relazione a quanto dichiarato a determinate autorità di vigilanza;
  • il connubio sempre più stretto tra il concetto di “adeguatezza degli assetti organizzativi” (vedi ad es. la riforma dell’art. 2086 C. Civ.), gli assetti di Corporate Governance e gli obiettivi posti al management all’interno di framework di Corporate Governance;
  • l’evoluzione sempre più rapida di alcune discipline volte ad aumentare il perimetro di condotte o situazioni che possono costituire elementi costitutivi di un illecito;
  • la sempre maggiore complessità delle filiere e delle supply chain e dei relativi obblighi e responsabilità delle organizzazioni “capofila” che rendono necessaria una valutazione dei rischi sempre più ampia e la considerazione di eventi (anche minori) che possono costituire “predicate offenses” di violazioni di più ampia rilevanza;
  • l’evoluzione di normative di settore verso un approccio sempre più “risk based” e non precettivo, tale per cui si richiede all’organizzazione uno sforzo valutativo e una accountability per le scelte operate in base alla propria valutazione del rischio.

Questi temi emergono sicuramente nello scenario italiano ma per chi è coinvolto nella gestione dei rischi di grandi gruppi internazionali sa bene come i temi emergono anche maggiormente ove si debba gestire un CMS che coinvolge giurisdizioni diverse all’interno di processi operativi correlati e interdipendenti tra vari Paesi. In questo caso emerge il tema ulteriore della gestione delle responsabilità infragruppo e la corretta allocazione di rischi e responsabilità per eventi che hanno fonte in un paese ma che possono intaccare una partecipata in un altro Paese.

Come una organizzazione può iniziare a compiere un ragionamento di tipo integrato (sia tra temi diversi sia tra Paesi diversi/Entities diverse) e gestire questa tematica?

A parere di chi scrive ci sono alcuni passaggi preliminari che una organizzazione può affrontare per prepararsi a questa necessità di integrazione:

  • Approccio per processi: ancora molte organizzazioni non utilizzano una chiara mappatura dei processi per identificare i rischi. Ancora più difficilmente ciò viene svolto coinvolgendo le supply chain o le interdipendenze di processi all’interno di gruppi internazionali. Chiarire quali processi hanno punti di incontro e correlazione è la chiave per capire le correlazioni dei rischi e dei temi da analizzare;
  • Approccio comune in termini di criteri di valutazione: la valutazione di rischi di Compliance combinata con altre valutazioni di rischi deve trovare un punto di incontro in una quantificazione o nell’espressione di un valore. Adottare criteri e modalità rappresentative completamente diverse per rischi diversi (apparentemente) comporta una estrema difficoltà di reductio ad unum per esigenze di integrazione;
  • Flussi di comunicazione: la necessità di integrare sempre maggiormente la gestione dei CMS con altri risk management framework comporta la necessità di introdurre efficaci punti di scambio informazioni permettendo valutazioni di rischi basate su omogenei e completi assetti informativi ed evitando valutazioni e reporting “falsati” da informazioni diverse a seconda della funzione interessata;
  • Controlli interni: il dialogo tra le funzioni di controllo e le diverse linee di difesa è altresì la chiave per permettere l’efficiente controllo del rischio (evitando double jobs) e lo scambio informativo tra funzioni che possono considerare utili specifici red flags emersi in occasione di controlli svolti da altre funzioni.

1/2 to be continued

LEGGI QUI l’articolo successivo  2/2,  Spunti e pratiche per l’integrazione dei sistemi di gestione (CMS)



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *